Chkrootkit mengatakan "Mencari Linux / Ebury - Operasi Windigo ssh ... Kemungkinan Linux / Ebury - Operasi Windigo installetd", haruskah saya khawatir?

18

Saya baru-baru ini berlari sudo chkrootkitdan ini adalah salah satu hasilnya:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

Dalam penelitian saya tentang ini saya menemukan utas ini , jadi saya mencoba menjalankan perintah yang direkomendasikan di sana, dua perintah pertama:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

Tidak menghasilkan apa-apa. Namun perintah ini:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Diproduksi:

System infected

Jadi, apakah saya terinfeksi atau tidak? Saya membaca tentang ini (walaupun saya menemukan laporan yang lebih deskriptif sebelumnya tetapi tidak dapat menemukannya lagi), jadi mungkinkah ini? Saya telah melakukan instalasi baru dan masih terdeteksi. Jadi apakah ada cara untuk memeriksa lebih lanjut dan haruskah saya khawatir?

Informasi OS:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

Informasi Paket:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status
ssh security rootkit chkrootkit muru
sumber

Jawaban:

13

Masalah yang Anda miliki adalah bahwa di Wily, perintah "ssh -G" tidak menampilkan string "Operasi Ilegal" di atas, tetapi masih menunjukkan bantuan perintah, jadi saya pikir Anda baik-baik saja. Semua pemasangan Wily saya melaporkan masalah yang sama. Ini cacat deteksi. chkrootkit perlu diperbarui untuk mengubah mekanisme deteksi kecurigaannya.

Alexan Kulbashian
sumber
4
Sebuah asli -G pilihan yang ditambahkan di 6.8P1 openssh.
Stéphane Chazelas
Jadi, jika saya memiliki versi: OpenSSH_7.2p2 Ubuntu-4ubuntu1, OpenSSL 1.0.2g-fips 1 Mar 2016 dan -G masih menampilkan bantuan, apa artinya itu? Dikatakan "-G Menyebabkan ssh untuk mencetak konfigurasinya setelah mengevaluasi blok Host dan Match dan keluar"
Chev_603
8

Saya juga menerima hasil kutu "mungkin" yang menjalankan OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips di Ubuntu 16.04. Mencari online untuk masalah ini, saya menemukan situs:
https://www.cert-bund.de/ebury-faq
yang memberikan beberapa tes untuk dilakukan. Tes memori bersama di mana tidak konklusif, tetapi tiga hasil tes lainnya menunjukkan positif palsu. Saya telah membuat skrip kecil sederhana untuk dijalankan setelah kemungkinan hasil positif muncul di chkrootkit:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

Saya juga merekomendasikan menginstal rkhunter sebagai pemeriksaan lebih lanjut untuk rootkit.

Catwhisperer
sumber
7

Versi tes yang benar adalah:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

Karena -Gopsi telah ditambahkan ke ssh, maka -e Ggdiperlukan untuk mencegah kesalahan positif.

Biep
sumber