Chkrootkit 说“正在搜索 Linux/Ebury - Operation Windigo ssh... 可能已安装 Linux/Ebury - Operation Windigo”,我应该担心吗?

Chkrootkit 说“正在搜索 Linux/Ebury - Operation Windigo ssh... 可能已安装 Linux/Ebury - Operation Windigo”,我应该担心吗?

我最近跑步sudo chkrootkit,这是结果之一:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

在对此进行研究中我发现此主题,所以我尝试运行那里推荐的命令,前两个命令:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

没有输出任何内容。但是这个命令:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

输出:

System infected

那么我是否被感染了?我读过对这个(虽然我之前找到过更详细的报告,但再也找不到了),所以可能是这个吗?我已经进行了全新安装,但仍然检测到它。那么有没有办法进一步检查,我应该担心吗?


操作系统信息:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

封装信息:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status

答案1

您遇到的问题是,在 Wily 中,命令“ssh -G”不会在顶部输出“非法操作”字符串,但它仍然会显示命令帮助,所以我认为您没有问题。我安装的所有 Wily 都报告了相同的问题。这是一个检测缺陷。chkrootkit 需要更新以更改其可疑检测机制。

答案2

我在 Ubuntu 16.04 上运行 OpenSSH_7.2p2 Ubuntu-4ubuntu2.1、OpenSSL 1.0.2g-fips 时也收到了“可能”感染结果。在网上查找此问题时,我找到了以下网站:
https://www.cert-bund.de/ebury-faq
这给出了一些要执行的测试。共享内存测试没有定论,但其他三个测试结果表明是假阳性。我创建了一个小型简单脚本,在 chkrootkit 上出现可能的阳性结果后运行:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

我还建议安装亨特作为对 rootkit 的进一步检查。

答案3

测试的正确版本是:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

由于-Gssh 中添加了一个选项,因此-e Gg需要防止误报。

相关内容