Apenas releia a pergunta. Se você está em uma instalação sem SSH ou seu servidor SSH não está disponível on-line (por exemplo, ele é bloqueado por um roteador NAT, et al), você não tem nada a temer com essa notícia. Todo o ataque requer SSH.
Além disso, se você não está rodando um servidor web (e por extensão você não está em uma conexão de internet incrível), parece improvável - embora, e importante, não impossível - que Windigo vá incomodá-lo, mesmo que você tem um servidor SSH exposto.
Isso não quer dizer que você está livre de qualquer risco. Há outros malwares e ainda haverá mais com o passar do tempo e o Ubuntu ganha usuários. Também é estupidamente fácil manipular as pessoas. Eu tive um pequeno discurso há alguns anos atrás: o Linux não é invulnerável. Não diga que é.
De qualquer forma, se você ainda estiver lendo, vou assumir que você está executando um servidor SSH na Internet.
A ESET post e PDF writeup em" Operation Windigo " devem informar tudo o que você precisa para saber se você está em risco ou se está infectado no momento. Eles têm código de amostra que pode ser copiado e executado para testar seu sistema.
A coisa toda certamente vale a pena ser lida, mas esse não é o apocalipse de segurança que alguns podem sugerir. A principal rota pela qual esses servidores foram infectados foi a idiotice humana:
Nenhuma vulnerabilidade foi explorada nos servidores Linux; apenas credenciais roubadas foram aproveitadas. Concluímos que a autenticação de senha nos servidores deve ser uma coisa do passado
Portanto, para toda a fanfarra, esta é uma técnica de infecção muito básica. Eles estão decifrando senhas (provavelmente com ataques de dicionário) ou roubando chaves SSH de computadores clientes, backups, etc. Eu gostaria de pensar que é o primeiro.
Não há nada inteligente ou novo sobre isso. Todo mundo que executa um servidor SSH enfrenta esses riscos e é muito fácil protegê-los. Pratique a segurança básica do SSH e você estará bem: use chaves protegidas por senha e não senhas , execute sshd em uma porta alta, fail2ban, sem usuário root. Se você ignorar essas noções básicas e executar um servidor SSH no qual está permitindo logins raiz com uma senha, você será hackeado.
E só porque isso não era uma infecção baseada em exploits, não significa que a próxima não será. Manter-se atualizado com os pacotes de liberação de segurança é vital. Torne automático. Certificar-se de que seus scripts PHP (et al) estão atualizados é vital, inscreva-se nos feeds RSS de seus autores.
O significado de Windigo é a sofisticação e a portabilidade do rootkit que é instalado nos servidores. Há resiliência de rede por meio de DNS dinâmico, não IPs estáticos, múltiplas configurações httpd para maximizar as taxas de sucesso, a falta de dependências em toda essa pilha que quase certamente rodará em todos os cenários (mesmo em ARM) ... e por todas as contas as cargas úteis (o spam e os kits de infecção para computadores clientes) são muito eficazes. 1% de sucesso é épico quando se fala de 500K por dia.
O "isso está acontecendo no Linux, então o Linux é inseguro". A inferência que vejo em alguns lugares é absurda. Isso pode acontecer em qualquer plataforma e, francamente, isso já acontece. O que é especial aqui é que isso foi reunido por desenvolvedores competentes. Felizmente, o ponto de ingresso é praticamente tão simples quanto um ladrão que encontra a chave reserva sob o capacho.
O tempo demais; Não leu a versão ...
parece que os servidores hackeados foram executados por idiotas com pouca segurança, mas não são complacentes. Verifique se seus servidores estão infectados e verifique se você não está cometendo os mesmos erros estúpidos que as pessoas que estão infectadas no momento.