如何从 Ubuntu 16.04 中删除 LINUX/EBURY？

Question 1

LINUX/EBURY 根工具包很容易被发现。

它的作用是创建一个符号链接libkeyutils.so，并将恶意软件添加到他们的版本中libkeyutils.so。

我发现它/lib/x86_64-linux-gnu/看起来像这样：

lrwxrwxrwx 1 root root    18 mrt  5  2015 /lib/x86_64-linux-gnu/libkeyutils.so.1 -> libkeyutils.so.1.5
-rw-r--r-- 1 root root 14256 okt 16  2014 /lib/x86_64-linux-gnu/libkeyutils.so.1.5

这看起来不错，但如果超过 2 行，你就有麻烦了。有问题的文件可能是这样的libkeyutils.so.1.5.0，大小约为 32k。

以下文件受到该rootkit的影响：

audit_log_user_message
audit_log_acct_message
hosts_access
connect
__syslog_chk
write
syslog
popen
hosts_access
crypt
pam_start

最后，这些是感染的 SHA-1 哈希值：

09c8af3be4327c83d4a7124a678bbc81e12a1de4 – Linux/Ebury – Version 1.3.2
2e571993e30742ee04500fbe4a40ee1b14fa64d7 – Linux/Ebury – Version 1.3.4
39ec9e03edb25f1c316822605fe4df7a7b1ad94a – Linux/Ebury – Version 1.3.2
3c5ec2ab2c34ab57cba69bb2dee70c980f26b1bf – Linux/Ebury – Version 1.3.2
471ee431030332dd636b8af24a428556ee72df37 – Linux/Ebury – Version 1.2.1
5d3ec6c11c6b5e241df1cc19aa16d50652d6fac0 – Linux/Ebury – Version 1.3.3
74aa801c89d07fa5a9692f8b41cb8dd07e77e407 – Linux/Ebury – Version 1.3.2
7adb38bf14e6bf0d5b24fa3f3c9abed78c061ad1 – Linux/Ebury – Version 1.3.2
9bb6a2157c6a3df16c8d2ad107f957153cba4236 – Linux/Ebury – Version 1.3.2
9e2af0910676ec2d92a1cad1ab89029bc036f599 – Linux/Ebury – Version 1.3.3
adfcd3e591330b8d84ab2ab1f7814d36e7b7e89f – Linux/Ebury – Version 1.3.2
bf1466936e3bd882b47210c12bf06cb63f7624c0 – Linux/Ebury – Version 1.3.2
d552cbadee27423772a37c59cb830703b757f35e – Linux/Ebury – Version 1.3.3
e14da493d70ea4dd43e772117a61f9dbcff2c41c – Linux/Ebury – Version 1.3.2
f1ada064941f77929c49c8d773cbad9c15eba322 – Linux/Ebury – Version 1.3.2

根据 welivesecurity.com 的链接。

-如果您被感染，最好格式化并重新安装并恢复不包含感染的备份。此外，由于ssh涉及删除您的 ssh 凭据并创建一些新密钥。

您可以检查 ssh 是否感染了

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Answer

LINUX/EBURY 根工具包很容易被发现。

它的作用是创建一个符号链接libkeyutils.so，并将恶意软件添加到他们的版本中libkeyutils.so。

我发现它/lib/x86_64-linux-gnu/看起来像这样：

lrwxrwxrwx 1 root root    18 mrt  5  2015 /lib/x86_64-linux-gnu/libkeyutils.so.1 -> libkeyutils.so.1.5
-rw-r--r-- 1 root root 14256 okt 16  2014 /lib/x86_64-linux-gnu/libkeyutils.so.1.5

这看起来不错，但如果超过 2 行，你就有麻烦了。有问题的文件可能是这样的libkeyutils.so.1.5.0，大小约为 32k。

以下文件受到该rootkit的影响：

audit_log_user_message
audit_log_acct_message
hosts_access
connect
__syslog_chk
write
syslog
popen
hosts_access
crypt
pam_start

最后，这些是感染的 SHA-1 哈希值：

09c8af3be4327c83d4a7124a678bbc81e12a1de4 – Linux/Ebury – Version 1.3.2
2e571993e30742ee04500fbe4a40ee1b14fa64d7 – Linux/Ebury – Version 1.3.4
39ec9e03edb25f1c316822605fe4df7a7b1ad94a – Linux/Ebury – Version 1.3.2
3c5ec2ab2c34ab57cba69bb2dee70c980f26b1bf – Linux/Ebury – Version 1.3.2
471ee431030332dd636b8af24a428556ee72df37 – Linux/Ebury – Version 1.2.1
5d3ec6c11c6b5e241df1cc19aa16d50652d6fac0 – Linux/Ebury – Version 1.3.3
74aa801c89d07fa5a9692f8b41cb8dd07e77e407 – Linux/Ebury – Version 1.3.2
7adb38bf14e6bf0d5b24fa3f3c9abed78c061ad1 – Linux/Ebury – Version 1.3.2
9bb6a2157c6a3df16c8d2ad107f957153cba4236 – Linux/Ebury – Version 1.3.2
9e2af0910676ec2d92a1cad1ab89029bc036f599 – Linux/Ebury – Version 1.3.3
adfcd3e591330b8d84ab2ab1f7814d36e7b7e89f – Linux/Ebury – Version 1.3.2
bf1466936e3bd882b47210c12bf06cb63f7624c0 – Linux/Ebury – Version 1.3.2
d552cbadee27423772a37c59cb830703b757f35e – Linux/Ebury – Version 1.3.3
e14da493d70ea4dd43e772117a61f9dbcff2c41c – Linux/Ebury – Version 1.3.2
f1ada064941f77929c49c8d773cbad9c15eba322 – Linux/Ebury – Version 1.3.2

根据 welivesecurity.com 的链接。

-如果您被感染，最好格式化并重新安装并恢复不包含感染的备份。此外，由于ssh涉及删除您的 ssh 凭据并创建一些新密钥。

您可以检查 ssh 是否感染了

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Question 2

这可能是误报。Chkrootkit 使用的是一种过时的检查方法，用于检查这种恶意软件，这种恶意软件已经进化了。可能没什么问题，但如果您愿意，可以使用 rkhunter 进行检查。如果您仍然担心，请从备份中重新安装您的系统，因为它很可能已经获得了 root 级权限。

https://www.google.co.uk/search?q=linux+ebury&ie=UTF-8&oe=UTF-8&hl=en-gb&client=safari

https://www.cert-bund.de/ebury-faq

Answer

这可能是误报。Chkrootkit 使用的是一种过时的检查方法，用于检查这种恶意软件，这种恶意软件已经进化了。可能没什么问题，但如果您愿意，可以使用 rkhunter 进行检查。如果您仍然担心，请从备份中重新安装您的系统，因为它很可能已经获得了 root 级权限。

https://www.google.co.uk/search?q=linux+ebury&ie=UTF-8&oe=UTF-8&hl=en-gb&client=safari

https://www.cert-bund.de/ebury-faq

Question 3

我相信这个系统比我们经历过的任何其他系统都要重要。

它很可能在您的磁盘和驱动器上运行一个系统，其中 BIOS 已被替换，使得您几乎无法 100% 相信安装合法的系统。

要查看您是否受到影响，实际方法是格式化驱动器，以便系统无法将其检测为内部驱动器。制作 16TB 驱动器。

mkfs.ext4 /dev/sdh 17000000000

仅可使用 Ubuntu 16.04 提供的 e2fsprogs。

然后安装驱动器并验证两个不同的命令。其中一个命令应使系统在超过 250gb 时冻结，即“归零时为 1TB”（如果您的主磁盘为 250gb）。

 Sudo mkdir /mnt/data
Mount /dev/sdh /mnt/data

Sudo dd if=/dev/zero of=/mnt/data bs=128M status=progress

Sudo dd if=/dev/urandom of=/mnt/data bs=128M status=progress

Ebury 以某种方式在您的计算机上使用压缩。它还会在几乎所有计算机任务上生成随机错误，而无需关闭系统。利用速度减慢或电池耗电时间延长或系统速度减慢。

Answer