Chkrootkit говорит: «В поисках Linux / Ebury - операция Windigo ssh… Возможная Linux / Ebury - операция Windigo installetd», следует ли мне беспокоиться?

18

Я недавно побежал, sudo chkrootkitи это был один из результатов:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

В своем исследовании этого я обнаружил этот поток , поэтому я попытался выполнить команды, рекомендуемые там, первые две команды:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

Ничего не выводится. Однако эта команда:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

, выдаваемые:

System infected

Так я заражен или нет? Я читал об этом (хотя я нашел более описательный отчет раньше, но не могу найти его снова), так может ли это быть? Я сделал новую установку, и она все еще обнаруживается. Так есть ли способ дальнейшей проверки, и я должен волноваться?


Информация об ОС:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

Информация о пакете:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status
Мур
источник

Ответы:

13

Проблема, с которой вы столкнулись, заключается в том, что в Wily команда "ssh -G" не выводит строку "Illegal Operation" вверху, но она все равно показывает справку по команде, поэтому я думаю, что вы в порядке. Все мои установки Wily сообщают об одной и той же проблеме. Это недостаток обнаружения. Необходимо обновить chkrootkit, чтобы изменить механизм обнаружения подозрений.

Алексан Кульбашян
источник
4
Подлинный -G вариант был добавлен в OpenSSH 6.8P1.
Стефан Шазелас
Итак, если у меня есть версия: OpenSSH_7.2p2 Ubuntu-4ubuntu1, OpenSSL 1.0.2g-fips 1 марта 2016 года, и -G по-прежнему вызывает помощь, что это значит? Он говорит «-G заставляет ssh распечатать свою конфигурацию после оценки блоков Host и Match и выйти»
Chev_603
8

Я также получил этот «возможный» результат заражения под управлением OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips на Ubuntu 16.04. Посмотрев эту проблему в интернете, я нашел сайт:
https://www.cert-bund.de/ebury-faq,
который дает некоторые тесты для выполнения. Тесты с общей памятью не были окончательными, но остальные три результата тестов указывали на ложноположительный результат. Я создал небольшой простой скрипт для запуска после обнаружения возможного положительного результата в chkrootkit:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

Я бы также рекомендовал установить rkhunter для дальнейшей проверки руткитов.

Catwhisperer
источник
7

Правильная версия теста:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

Поскольку -Gопция была добавлена ​​в ssh, -e Ggона необходима для предотвращения ложных срабатываний.

Biep
источник