Como posso remover o LINUX / EBURY do Ubuntu 16.04?

O rootkit LINUX / EBURY é fácil de identificar.

O que ele faz é criar um link simbólico para libkeyutils.so e adicionar o malware à sua versão de libkeyutils.so .

Eu encontrei o meu em /lib/x86_64-linux-gnu/ e é assim:

lrwxrwxrwx 1 root root    18 mrt  5  2015 /lib/x86_64-linux-gnu/libkeyutils.so.1 -> libkeyutils.so.1.5
-rw-r--r-- 1 root root 14256 okt 16  2014 /lib/x86_64-linux-gnu/libkeyutils.so.1.5

Isso parece bom, mas se você tiver mais de duas linhas, você está com problemas. O arquivo problemático seria algo como libkeyutils.so.1.5.0 e teria um tamanho aproximado de 32k.

Os seguintes arquivos são afetados por este rootkit:

audit_log_user_message
audit_log_acct_message
hosts_access
connect
__syslog_chk
write
syslog
popen
hosts_access
crypt
pam_start

E para terminar. Estes são os hashes SHA-1 da infecção:

09c8af3be4327c83d4a7124a678bbc81e12a1de4 – Linux/Ebury – Version 1.3.2
2e571993e30742ee04500fbe4a40ee1b14fa64d7 – Linux/Ebury – Version 1.3.4
39ec9e03edb25f1c316822605fe4df7a7b1ad94a – Linux/Ebury – Version 1.3.2
3c5ec2ab2c34ab57cba69bb2dee70c980f26b1bf – Linux/Ebury – Version 1.3.2
471ee431030332dd636b8af24a428556ee72df37 – Linux/Ebury – Version 1.2.1
5d3ec6c11c6b5e241df1cc19aa16d50652d6fac0 – Linux/Ebury – Version 1.3.3
74aa801c89d07fa5a9692f8b41cb8dd07e77e407 – Linux/Ebury – Version 1.3.2
7adb38bf14e6bf0d5b24fa3f3c9abed78c061ad1 – Linux/Ebury – Version 1.3.2
9bb6a2157c6a3df16c8d2ad107f957153cba4236 – Linux/Ebury – Version 1.3.2
9e2af0910676ec2d92a1cad1ab89029bc036f599 – Linux/Ebury – Version 1.3.3
adfcd3e591330b8d84ab2ab1f7814d36e7b7e89f – Linux/Ebury – Version 1.3.2
bf1466936e3bd882b47210c12bf06cb63f7624c0 – Linux/Ebury – Version 1.3.2
d552cbadee27423772a37c59cb830703b757f35e – Linux/Ebury – Version 1.3.3
e14da493d70ea4dd43e772117a61f9dbcff2c41c – Linux/Ebury – Version 1.3.2
f1ada064941f77929c49c8d773cbad9c15eba322 – Linux/Ebury – Version 1.3.2

Baseado neste link de welivesecurity.com .

-IF- você está infectado, é melhor formatar, reinstalar e restaurar um backup que não contenha a infecção. Além disso, como ssh está envolvido, exclua suas credenciais ssh e crie algumas novas chaves.

Você pode verificar se o ssh está infectado com

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Provavelmente é um falso positivo. Chkrootkit usa uma verificação desatualizada para este malware, que desde então evoluiu. Provavelmente não é nada, mas verifique com rkhunter, se desejar. Se ainda estiver preocupado, reinstale o sistema a partir de backups, pois ele provavelmente terá as permissões de nível de raiz.

link

link

Eu acredito que este sistema é mais do que qualquer outra coisa que passamos.

Provavelmente, ele está executando um sistema em seus discos e unidades, onde o BIOS foi substituído, fazendo com que você quase não consiga instalar 100% para acreditar em sistemas legítimos.

A coisa real para ver se você está afetado é formatar uma unidade que não é possível para o sistema detectar como interno. Fazendo drives de 16TB.

mkfs.ext4 /dev/sdh 17000000000  

Apenas possível com o e2fsprogs disponível no Ubuntu 16.04.

Em seguida, monte a unidade e valide dois comandos diferentes. Dos quais um deve congelar o sistema se acima de 250GB '1TB em zeroing' se o seu disco principal é de 250GB.

 Sudo mkdir /mnt/data
Mount /dev/sdh /mnt/data

Sudo dd if=/dev/zero of=/mnt/data bs=128M status=progress

Sudo dd if=/dev/urandom of=/mnt/data bs=128M status=progress

De alguma forma, a Ebury usa a compactação no seu computador. Ele também gera um encontro aleatório de erros específico em quase todas as tarefas do computador sem o desligamento do sistema. Utilizando desaceleração ou esgotamento da bateria ou sistema retardado.