我最近跑步sudo chkrootkit,这是结果之一:
Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd
在对此进行研究中我发现此主题,所以我尝试运行那里推荐的命令,前两个命令:
netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so
没有输出任何内容。但是这个命令:
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
输出:
System infected
那么我是否被感染了?我读过对这个(虽然我之前找到过更详细的报告,但再也找不到了),所以可能是这个吗?我已经进行了全新安装,但仍然检测到它。那么有没有办法进一步检查,我应该担心吗?
操作系统信息:
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 15.10
Release: 15.10
Codename: wily
Flavour: GNOME
GNOME Version: 3.18
封装信息:
chkrootkit:
Installed: 0.50-3.1ubuntu1
Candidate: 0.50-3.1ubuntu1
Version table:
*** 0.50-3.1ubuntu1 0
500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
100 /var/lib/dpkg/status
答案1
您遇到的问题是,在 Wily 中,命令“ssh -G”不会在顶部输出“非法操作”字符串,但它仍然会显示命令帮助,所以我认为您没有问题。我安装的所有 Wily 都报告了相同的问题。这是一个检测缺陷。chkrootkit 需要更新以更改其可疑检测机制。
答案2
我在 Ubuntu 16.04 上运行 OpenSSH_7.2p2 Ubuntu-4ubuntu2.1、OpenSSL 1.0.2g-fips 时也收到了“可能”感染结果。在网上查找此问题时,我找到了以下网站:
https://www.cert-bund.de/ebury-faq
这给出了一些要执行的测试。共享内存测试没有定论,但其他三个测试结果表明是假阳性。我创建了一个小型简单脚本,在 chkrootkit 上出现可能的阳性结果后运行:
#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"
我还建议安装亨特作为对 rootkit 的进一步检查。
答案3
测试的正确版本是:
ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"
由于-Gssh 中添加了一个选项,因此-e Gg需要防止误报。