Chkrootkitは「Linux / Eburyの検索-Windigo sshの操作... Linux / Eburyの可能性-Windigoの操作installetd」と言っていますが、心配する必要がありますか?
私は最近Sudo chkrootkitを実行しましたが、これは結果の1つでした:
Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd
これについての私の研究で このスレッド を発見したので、そこで推奨されるコマンド、最初の2つのコマンドを実行してみました。
netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so
何も出力しませんでした。ただし、このコマンド:
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
出力済み:
System infected
だから私は感染しているか?私は これについて を読みました(以前はもっとわかりやすいレポートを見つけましたが、それを再び見つけることはできません)。新規インストールを実行しましたが、まだ検出されています。それで、さらにチェックする方法はありますか、心配する必要がありますか?
OS情報:
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 15.10
Release: 15.10
Codename: wily
Flavour: GNOME
GNOME Version: 3.18
パッケージ情報:
chkrootkit:
Installed: 0.50-3.1ubuntu1
Candidate: 0.50-3.1ubuntu1
Version table:
*** 0.50-3.1ubuntu1 0
500 http://archive.ubuntu.com/ubuntu/ wily/universe AMD64 Packages
100 /var/lib/dpkg/status
あなたが持っている問題は、Wilyでは、コマンド「ssh -G」が上部に「Illegal Operation」文字列を出力しないが、それでもコマンドのヘルプが表示されるということです。私のWilyインストールはすべて同じ問題を報告しています。これは検出の欠陥です。 chkrootkitは、疑いの検出メカニズムを変更するために更新する必要があります。
また、Ubuntu 16.04でOpenSSH_7.2p2 Ubuntu-4ubuntu2.1、OpenSSL 1.0.2g-fipsを実行している「可能性のある」侵入の結果を受け取りました。この問題をオンラインで見ると、次のサイトが見つかりました。
https://www.cert-bund.de/ebury-faq
これは、実行するテストを提供します。共有メモリテストは決定的ではありませんが、他の3つのテスト結果は偽陽性を示しています。可能性のある肯定的な結果がchkrootkitに表示された後に実行する小さなシンプルなスクリプトを作成しました。
#! /bin/bash
#
# Result filesize should be less that 15KB.
Sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
Sudo find /lib* -type f -name libns2.so
# Result should return null.
Sudo netstat -nap | grep "@/proc/udevd"
ルートキットのさらなるチェックとして rkhunter をインストールすることもお勧めします。
テストの正しいバージョンは次のとおりです。
ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"
-Gオプションがsshに追加されたため、誤検知を防ぐために-e Ggが必要です。