ClamAV 在 Ubuntu 实例上检测到 Kaiji 恶意软件

ClamAV 在 Ubuntu 实例上检测到 Kaiji 恶意软件

今天,clamAV 扫描了我的 AWS 实例,发现每个实例上都有 24 个受感染的文件。由于以下几个原因,它看起来像是误报:

  1. 所有这些文件都是在 2022 年 10 月创建的(为什么现在才被发现?)
  2. 每个实例的 SSH 端口都受到 MFA + 密码 + VPN 的保护。

所以,我的问题是,在这种情况下我下一步应该怎么做?我应该删除这些文件吗,因为我理解它们可能是其他应用程序可以使用的系统文件。

2023-06-07T13:03:41.658+03:00   /snap/amazon-ssm-agent/6563/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:42.909+03:00   /snap/amazon-ssm-agent/6563/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:44.659+03:00   /snap/amazon-ssm-agent/6563/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:45.660+03:00   /snap/amazon-ssm-agent/6563/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:46.910+03:00   /snap/amazon-ssm-agent/6563/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:47.910+03:00   /snap/amazon-ssm-agent/6563/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:49.411+03:00   /snap/amazon-ssm-agent/6312/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:50.662+03:00   /snap/amazon-ssm-agent/6312/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:51.912+03:00   /snap/amazon-ssm-agent/6312/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:52.912+03:00   /snap/amazon-ssm-agent/6312/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:53.913+03:00   /snap/amazon-ssm-agent/6312/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:55.413+03:00   /snap/amazon-ssm-agent/6312/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:56.695+03:00   /snap/lxd/24061/bin/lxc: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:57.414+03:00   /snap/lxd/24061/bin/lxc-to-lxd: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:58.164+03:00   /snap/lxd/24061/bin/lxd-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:58.915+03:00   /snap/lxd/24061/bin/lxd-benchmark: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:01.666+03:00   /snap/lxd/24061/bin/lxd-migrate: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:06.073+03:00   /snap/lxd/24061/bin/snap-query: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:12.420+03:00   /snap/lxd/23991/bin/lxc: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:13.170+03:00   /snap/lxd/23991/bin/lxc-to-lxd: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:13.920+03:00   /snap/lxd/23991/bin/lxd-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:14.671+03:00   /snap/lxd/23991/bin/lxd-benchmark: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:16.171+03:00   /snap/lxd/23991/bin/lxd-migrate: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:21.073+03:00   /snap/lxd/23991/bin/snap-query: Unix.Malware.Kaiji-10003916-0 FOUND

答案1

我向 ClamAV 提交了误报报告,网址为https://www.clamav.net/reports/fp

这是我提交的描述:

The attached "helper" file was retrieved by running:
docker cp "$(docker container create gcr.io/paketo-buildpacks/ca-certificates:3.6.2@sha256:87b389fa631c6d6bbdaef30b5b963b300a4cba87c0ab8e9d00e3e5c2496117d3 -d)":/cnb/buildpacks/paketo-buildpacks_ca-certificates/3.6.2/bin/helper .

clamscan run on that file outputs:
helper: Unix.Malware.Kaiji-10003916-0 FOUND

That docker image is from https://github.com/paketo-buildpacks/ca-certificates/releases/tag/v3.6.2

Unix.Malware.Kaiji-10003916-0 is being detected in many files - this is just one sample. This false positive, new today, was also raised on stackoverflow at https://serverfault.com/questions/1132808/clamav-detected-kaiji-malware-on-ubuntu-instance

我还helper通过virustotal运行了该文件:https://www.virustotal.com/gui/file-analysis/NmUzNWM2MGVhZWVmNmU5ODAxYTExOWVhMTNkNGM1MGM6MTY4NjE0NzAzNg==

除了 clamav 之外,没有任何扫描仪能够检测到此文件中的病毒。

每日签名数据库的带外更新刚刚发布,删除了以下签名:https://lists.clamav.net/pipermail/clamav-virusdb/2023-June/008315.html

这样,这个误报问题就解决了。

ClamAV 项目还将审查其流程,以防止将来再次发生此类误报。

我也向 ClamAV 报告了这个问题他们的不和

答案2

今天早上(2023 年 6 月 7 日),ClamAV 报告称在 Amazon Linux 上的各种 cloudwatch-agent、ssm-agent、gitlab 和 docker 文件中发现了 Unix.Malware.Kaiji-10003916。误报或我有很多清理工作要做!

答案3

所有“我也是”的帖子都表明这是一个误报,但是仍然值得验证您的校验和。

dpkg 在 /var/lib/dpkg/info/.md5sums 中保存了所有已安装文件的 md5 哈希值记录

要查找拥有某个文件的包,请使用 dpkg -S 或在上方搜索其校验和。

RPM 还维护文件哈希列表(参见验证选项)。

答案4

我也看到了这一点。我收到了一些来自 Sophos 的 PHP webshel​​l 警报,因此进行了调查并在 clamav 中发现了这一点。不确定它是否与来自 Sophos 的警报有关。我们的一些实例曾经运行过 docker,而我的前任却让它完全开放,我很久以前就清理了所有这些,但在谷歌搜索 kaiji 后,我发现有一些东西说它是一个利用不安全的 docker 安装的僵尸网络。我通过 Virus Total 运行了其中一个文件,似乎只有 ClamAV 认为它不好。我不知道这是误报还是只有 clam 现在发现的新问题

相关内容