Chkrootkit dice "Alla ricerca di Linux / Ebury - Operazione Windigo ssh ... Possibile Linux / Ebury - Operazione Windigo installetd", dovrei essere preoccupato?

18

Di recente ho corso sudo chkrootkite questo è stato uno dei risultati:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

Nella mia ricerca su questo ho scoperto questo thread , quindi ho provato a eseguire i comandi consigliati lì, i primi due comandi:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

Niente prodotto. Tuttavia questo comando:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

emesso:

System infected

Quindi sono infetto o no? Ho letto di questo (anche se ho trovato un rapporto più descrittivo prima ma non riesco a trovarlo di nuovo), quindi potrebbe essere? Ho eseguito una nuova installazione e viene ancora rilevato. Quindi c'è un modo per ulteriori controlli e dovrei essere preoccupato?

Informazioni sul sistema operativo:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

Informazioni sul pacchetto:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status
ssh  security  rootkit  chkrootkit 
Muru
fonte

Risposte:

13

Il problema che hai è che in Wily, il comando "ssh -G" non genera la stringa "Operazione illegale" in alto, ma mostra comunque il comando help, quindi penso che tu stia bene. Tutte le mie installazioni di Wily segnalano lo stesso problema. È un difetto di rilevamento. chkrootkit deve essere aggiornato per cambiare il meccanismo di rilevamento dei sospetti.

Alexan Kulbashian
fonte
4
Una vera e propria -G opzione è stata aggiunta in 6.8P1 OpenSSH.
Stéphane Chazelas,
Quindi, se ho una versione: OpenSSH_7.2p2 Ubuntu-4ubuntu1, OpenSSL 1.0.2g-fips 1 marzo 2016 e -G porta ancora aiuto, cosa significa? Dice "-G Fa sì che ssh stampi la sua configurazione dopo aver valutato i blocchi Host e Match ed esce"
Chev_603
8

Ho anche ricevuto quel "possibile" risultato di infestazione che eseguiva OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips su Ubuntu 16.04. Cercando online questo problema ho trovato il sito:
https://www.cert-bund.de/ebury-faq
che fornisce alcuni test da eseguire. I test della memoria condivisa non erano conclusivi, ma gli altri tre risultati del test erano indicativi di un falso positivo. Ho creato un piccolo semplice script da eseguire dopo che il possibile risultato positivo viene visualizzato su chkrootkit:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

Vorrei anche raccomandare l'installazione di rkhunter come ulteriore controllo per i rootkit.

Catwhisperer
fonte
7

La versione corretta del test è:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

Poiché -Gun'opzione è stata aggiunta a ssh, -e Ggè necessaria per prevenire falsi positivi.

Biep
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.