Ubuntu用户应该关注“Operation Windigo”吗？

只是重读这个问题。 如果您在没有SSH的情况下进行安装，或者您的SSH服务器无法在线使用（例如，它被NAT路由器等阻止），您就不必担心此消息。 整个攻击需要SSH。

此外，如果您没有运行网络服务器（并且通过扩展程序，您不是在一个非常棒的互联网连接上），那么看起来不太可能 – 但很重要的是，并非不可能 – Windigo会打扰您，即使您确实有暴露的SSH服务器。

这并不是说你没有任何风险。 还有其他恶意软件，随着时间的推移会有更多的恶意软件和Ubuntu获得用户。 操纵人也很容易。 几年前我有点咆哮： Linux并不是无懈可击的。 不要说是。

---

无论如何，如果你还在阅读，我会假设你在互联网上运行SSH服务器。

关于“Operation Windigo”的ESETpost和PDF文章应该告诉您需要的一切，以便判断您是否有风险或目前是否受到感染。 它们具有可以复制并运行以测试系统的示例代码。

整个事情当然值得一读，但这不是一些人可能暗示的安全启示。 这些服务器被感染的主要途径是人类白痴：

Linux服务器上没有利用任何漏洞; 只有被窃取的凭据被利用。 我们得出结论，服务器上的密码validation应该已成为过去

因此，对于所有的大肆宣传，这是一种非常基本的感染技术。 他们要么破解密码（最有可能是字典攻击），要么就是在客户端计算机，备份等方面窃取SSH密钥。我想这是第一次。

这没有什么聪明或新的东西。 运行SSH服务器的每个人都面临着这些风险，而且他们很容易防范。 只需练习基本的 SSH安全性就可以了：使用密码保护密钥而不是密码，在高端口运​​行sshd ，fail2ban，没有root用户。 如果您忽略这些基础知识并运行SSH服务器，您允许使用密码进行root登录，那么您将被黑客入侵。

并且仅仅因为这不是基于漏洞的感染并不意味着下一个不会。 及时了解安全发布包至关重要。 让它自动化。 确保您的PHP（等）脚本更新至关重要，订阅您作者的RSS源。

---

Windigo的重要性在于安装在服务器上的rootkit的复杂性和可移植性。 通过动态DNS提供网络弹性，而不是静态IP，多个httpd配置以最大化成功率，整个堆栈中缺少依赖性，几乎可以确保在所有场景中运行（甚至在ARM上）……并且所有帐户有效载荷（垃圾邮件和客户端计算机的感染工具包）非常有效。 当你每天谈论500K时，1％的成功是史诗般的 。

“这种情况发生在Linux上，所以Linux是不安全的”推论，我可以在某些方面看到这是无稽之谈。 这可能发生在任何平台上，坦率地说，它已经做到了。 这里特别的是，这是由有能力的开发人员拉到一起。 值得庆幸的是，入口点就像窃贼在门垫下找到备用钥匙一样简单。

---

太长了; 没看过版本……

似乎被黑客入侵的服务器是由安全性较弱的白痴运行但不要自满。 检查您的服务器是否受到感染，并检查您是否发现与当前感染者相同的愚蠢错误。

嘿。 这就是为什么我说PPA是个坏主意。 但是，您指出的文章告诉我们没有病毒。 通常的安全措施应该没问题：从主存储库获取最新更新，考虑下载和运行的内容，无论是root用户还是用户。 如果您对某些软件有任何疑虑，请使用AppArmor或特殊用户ID将其锁定。

在确认我有一个干净的系统后，根据建议的检查，我该如何防止未来的入侵？

 ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”