Chkrootkit说“寻找Linux / Ebury – 操作Windigo ssh ……可能的Linux / Ebury – 操作Windigo安装”,我应该担心吗?
我最近运行了sudo chkrootkit ,这是其中一个结果:
Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd
在我对此的研究中,我发现了这个线程 ,所以我尝试运行那里推荐的命令,前两个命令:
netstat -nap | grep "@/proc/udevd" find /lib* -type f -name libns2.so
什么都没输出。 但是这个命令:
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
输出:
System infected
我感染了吗? 我读到了这一点 (虽然我之前发现了一个更具描述性的报告但又找不到它),所以可能是这样吗? 我做了一个全新的安装,它仍然被检测到。 那么有什么方法可以进一步检查,我应该担心吗?
OS信息:
No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 15.10 Release: 15.10 Codename: wily Flavour: GNOME GNOME Version: 3.18
套餐信息:
chkrootkit: Installed: 0.50-3.1ubuntu1 Candidate: 0.50-3.1ubuntu1 Version table: *** 0.50-3.1ubuntu1 0 500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages 100 /var/lib/dpkg/status
你遇到的问题是,在Wily中,命令“ssh -G”不会在顶部输出“非法操作”字符串,但它仍然会显示命令帮助,所以我认为你很好。 我所有的Wily安装都报告了同样的问题。 这是一个检测缺陷。 需要更新chkrootkit以改变它的怀疑检测机制。
我还收到了在Ubuntu 16.04上运行OpenSSH_7.2p2 Ubuntu-4ubuntu2.1,OpenSSL 1.0.2g-fips的“可能”的侵扰结果。 在线查找此问题我找到了该网站:
https://www.cert-bund.de/ebury-faq
这给了一些测试。 共享内存测试没有结论,但其他三个测试结果表明误报。 我创建了一个小的简单脚本,在chkrootkit上显示可能的正面结果后运行:
#! /bin/bash # # Result filesize should be less that 15KB. sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \; # Result should return null. sudo find /lib* -type f -name libns2.so # Result should return null. sudo netstat -nap | grep "@/proc/udevd"
我还建议安装rkhunter作为rootkit的进一步检查。
测试的正确版本是:
ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"
由于-G选项已添加到ssh中,因此需要使用-e Gg来防止误报。