我使用了chkrootkit,它告诉我我安装了“Linux/Ebury Operation Windigo”,我通过运行ssh -G打印出的用法进行了双重检查,没有“非法选项”。我删除了所有 ssh 文件并重新安装了它,但是当我ssh -G再次运行时,我仍然拥有它,也被chkrootkit.
您可以在不擦除整个驱动器的情况下删除它吗?有我应该寻找的文件吗?
答案1
有不止一种方法可以确定您是否确实被感染。据我所知,这两种方法都是经过尝试的真实方法,因为 chkrootkit 只会返回有关被感染的怀疑,而不是保证。如果您运行以下两个命令但没有任何返回,我会说这是误报。
这个搜索它的网络套接字
netstat -nap | grep "@/proc/udevd"
这个搜索它安装的模块
find /lib* -type f -name libns2.so
答案2
(我知道这是一个旧线程,但为了清楚起见,我添加了其他信息。)
如果您确实被感染,几乎唯一可靠的解决方案就是擦除并重新安装。然而,众所周知,目前 chrootkit 经常识别出 Windigo 的误报。
在 ESET 发布的 Windigo 白皮书中,详细介绍了另一种通过查看共享内存段来检查 Windigo 的方法。
https://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf
本质上,您需要运行:
sudo ipcs -m
并查找权限大于 600 或使用相对大量内存的任何条目。如果没有,那么您可能是干净的。
如果有,则记下段 id ( shmid ) 并运行:
sudo ipcs -m -p
获取进程 id ( pid ),您可以找出该进程的内容:
sudo ps aux | grep <pid>
如果您不认识该进程,请对其进行一些额外的研究,以确定它是否是潜在威胁。有一个很好的技术分析,包括感染的 SHA-1 哈希值,位于https://www.welivesecurity.com/2014/02/21/an-in-deep-analysis-of-linuxebury/这会有帮助的。
答案3
我认为ssh -G支票已经过时了。我刚刚检查了 Ubuntu 18.04 和 20.04,它不会返回“未知”或“非法”,即使我相当确定两个系统都是干净的。
因此,在更现代的系统上,ssh -G检查似乎总是会得出误报。