Chkrootkitは「Linux / Eburyの検索-Windigo ssh操作... Linux / Eburyの可能性-Windigo操作のインストール」と心配する必要がありますか?


18

私は最近走りましたがsudo chkrootkit、これは結果の1つでした:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

これについての私の研究でこのスレッドを発見したので、そこで推奨されるコマンド、最初の2つのコマンドを実行してみました。

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

何も出力しませんでした。ただし、このコマンド:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

出力済み:

System infected

だから私は感染しているか?私はこれについて読みました(以前に、より詳細なレポートを見つけましたが、それを再び見つけることはできませんが)。新規インストールを実行しましたが、まだ検出されています。それでは、さらにチェックする方法はありますか?


OS情報:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

パッケージ情報:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status

回答:


13

あなたが持っている問題は、Wilyでは、コマンド「ssh -G」が上部に「Illegal Operation」文字列を出力しないが、それでもコマンドのヘルプが表示されることです。私のWilyインストールはすべて同じ問題を報告しています。これは検出の欠陥です。chkrootkitは、疑いの検出メカニズムを変更するために更新する必要があります。


4
本物の -Gオプションは、OpenSSHの6.8P1で追加されました。
ステファンシャゼラス

バージョンがOpenSSH_7.2p2 Ubuntu-4ubuntu1、OpenSSL 1.0.2g-fips 2016年3月1日、-Gがまだヘルプを表示している場合、それはどういう意味ですか?「-Gを指定すると、HostブロックとMatchブロックを評価して終了した後、sshはその構成を出力します」
-Chev_603

8

また、Ubuntu 16.04でOpenSSH_7.2p2 Ubuntu-4ubuntu2.1、OpenSSL 1.0.2g-fipsを実行している「可能性のある」侵入の結果を受け取りました。この問題をオンラインで見ると、次のサイトが見つかりました。
https://www.cert-bund.de/ebury-faq
は、実行するテストを提供します。共有メモリテストは決定的なものではありませんが、他の3つのテスト結果は偽陽性を示しています。可能性のある肯定的な結果がchkrootkitに表示された後に実行する小さなシンプルなスクリプトを作成しました。

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

ルートキットの追加チェックとしてrkhunterをインストールすることもお勧めします。


7

テストの正しいバージョンは次のとおりです。

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

-Gオプションは、SSHに追加された、-e Gg偽陽性を防止するために必要とされます。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.