Chkrootkit каже: «Пошук Linux / Ebury - Операція Windigo ssh… Можливий Linux / Ebury - Операція Windigo installetd», чи варто мене турбувати?

18

Я нещодавно бігав, sudo chkrootkitі це був один із результатів:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

У своєму дослідженні з цього питання я виявив цю нитку , тому спробував запустити рекомендовані там команди, перші дві команди:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

Виводив нічого. Однак ця команда:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Виведено:

System infected

Так я заражений чи ні? Я читав про це (хоча раніше я знайшов більш описовий звіт, але не можу його знайти знову), то чи може це бути? Я зробив нову установку, і вона все ще виявляється. Так чи є спосіб подальшої перевірки, і чи варто мене турбувати?

Інформація про ОС:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

Інформація про пакет:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status

— муру
джерело

13

Проблема у вас полягає в тому, що у Вілі команда "ssh -G" не виводить рядок "Незаконна операція" у верхній частині, але все ще показує допомогу команди, тому я думаю, що ви добре. Усі мої встановлення Wily повідомляють про ту саму проблему. Це недолік виявлення. chkrootkit потрібно оновити, щоб змінити його механізм виявлення підозр.

— Алексан Кулбабаян
джерело

4

Справжній -G варіант був доданий в OpenSSH 6.8P1.

— Стефан Шазелас

Отже, якщо у мене є версія: OpenSSH_7.2p2 Ubuntu-4ubuntu1, OpenSSL 1.0.2g-fips 1 березня 2016 р. І -G все ще підводить допомогу, що це означає? У ньому написано, що "-G викликає ssh для друку своєї конфігурації після оцінки блоків хоста та відповідності та виходу"

— Chev_603

8

Я також отримав той "можливий" результат зараження під керуванням OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips на Ubuntu 16.04. Шукаючи он-лайн цю проблему, я знайшов сайт:
https://www.cert-bund.de/ebury-faq,
який дає кілька тестів для виконання. Тести спільної пам’яті, де вони не є переконливими, але інші три результати тесту вказували на хибний позитив. Я створив невеликий простий скрипт для запуску після появи можливого позитивного результату на chkrootkit:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

Я також рекомендую встановити rkhunter як додаткову перевірку на rootkits.

— Catwhisperer
джерело

7

Правильна версія тесту:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

Оскільки -Gопція була додана до ssh, -e Ggпотрібна для запобігання помилкових позитивних результатів.

— Біп
джерело