Chkrootkit “Linux / Ebury - Windigo Operasyonu ssh… Muhtemel Linux / Ebury - Windigo Operasyonu kurulumu” diyor, endişelenmeli miyim?


18

Son zamanlarda koştum sudo chkrootkitve bu sonuçlardan biriydi:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

Bu konudaki araştırmamda bu konuyu keşfettim , bu yüzden orada önerilen komutları çalıştırmayı denedim, ilk iki komut:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

Hiçbir şey çıktı. Ancak bu komut:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

outputted:

System infected

Peki enfekte oldum ya da bulaşmadım? Okuduğum bu konuda , bu yüzden bu olabilir (Daha önce daha açıklayıcı bir rapor bulundu gerçi ama yine bulamıyorum)? Yeni bir kurulum yaptım ve hala tespit ediliyor. Daha fazla kontrol etmenin bir yolu var mı ve endişelenmem gerekir mi?


İşletim Sistemi Bilgileri:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

Paket bilgisi:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status

Yanıtlar:


13

Sahip olduğunuz sorun Wily'de "ssh -G" komutunun üstte "Yasadışı İşlem" dizesini çıktılamaması, ancak yine de komut yardımını göstermesi, bu yüzden iyi olduğunuzu düşünüyorum. Tüm Wily yüklemelerim aynı sorunu bildiriyor. Bu bir tespit hatası. Şüphe tespit mekanizmasını değiştirmek için chkrootkit güncellenmelidir.


4
Bir gerçek -G seçenek openssh 6.8P1 içinde eklenmiştir.
Stéphane Chazelas

Yani, sürümüm varsa: OpenSSH_7.2p2 Ubuntu-4ubuntu1, OpenSSL 1.0.2g-fips 1 Mart 2016 ve -G hala yardımı getiriyor, bu ne anlama geliyor? "-G Host ve Match bloklarını değerlendirip çıktıktan sonra
ssh'nin

8

Ayrıca Ubuntu 16.04'te OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips çalıştıran "olası" istila sonucunu aldım. Bu sorun için çevrimiçi olarak baktığımda siteyi buldum:
https://www.cert-bund.de/ebury-faq
gerçekleştirilecek bazı testler verir. Kesin olmayan, ancak diğer üç test sonucunun paylaşılmayan bellek testleri yanlış pozitif olduğuna işaret ediyordu. Chkrootkit'te olası olumlu sonuç gösterildikten sonra çalıştırmak için küçük bir basit komut dosyası oluşturdum:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

Ayrıca rootkit'ler için daha fazla kontrol olarak rkhunter yüklemenizi tavsiye ederim .


7

Testin doğru sürümü:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

SSH'ye bir -Gseçenek eklendiğinden, -e Ggyanlış pozitifleri önlemek için gereklidir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.