Я недавно побежал, sudo chkrootkit
и это был один из результатов:
Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd
В своем исследовании этого я обнаружил этот поток , поэтому я попытался выполнить команды, рекомендуемые там, первые две команды:
netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so
Ничего не выводится. Однако эта команда:
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
, выдаваемые:
System infected
Так я заражен или нет? Я читал об этом (хотя я нашел более описательный отчет раньше, но не могу найти его снова), так может ли это быть? Я сделал новую установку, и она все еще обнаруживается. Так есть ли способ дальнейшей проверки, и я должен волноваться?
Информация об ОС:
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 15.10
Release: 15.10
Codename: wily
Flavour: GNOME
GNOME Version: 3.18
Информация о пакете:
chkrootkit:
Installed: 0.50-3.1ubuntu1
Candidate: 0.50-3.1ubuntu1
Version table:
*** 0.50-3.1ubuntu1 0
500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
100 /var/lib/dpkg/status
-G
вариант был добавлен в OpenSSH 6.8P1.Я также получил этот «возможный» результат заражения под управлением OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips на Ubuntu 16.04. Посмотрев эту проблему в интернете, я нашел сайт:
https://www.cert-bund.de/ebury-faq,
который дает некоторые тесты для выполнения. Тесты с общей памятью не были окончательными, но остальные три результата тестов указывали на ложноположительный результат. Я создал небольшой простой скрипт для запуска после обнаружения возможного положительного результата в chkrootkit:
Я бы также рекомендовал установить rkhunter для дальнейшей проверки руткитов.
источник
Правильная версия теста:
Поскольку
-G
опция была добавлена в ssh,-e Gg
она необходима для предотвращения ложных срабатываний.источник