Eu usei chkrootkit , que me disse que eu tinha "Linux / Ebury Operation Windigo" instalado. Eu dobrei a verificação executando ssh -G que imprimiu o uso, sem "opção ilegal". Eu removi todos os arquivos ssh e reinstalei, mas quando eu corri ssh -G novamente eu ainda tinha, também detectado por chkrootkit .
Você pode remover isso sem limpar toda a unidade? Há algum arquivo que eu deveria estar procurando?
Existem mais de uma maneira de descobrir se você está realmente infectado. Pelo que tenho lido, esses dois são os métodos testados e verdadeiros, pois o chkrootkit só devolve suspeitas sobre estar infectado, não uma garantia. Se você executar os dois comandos a seguir e nada voltar, eu diria que é um falso positivo.
Este procura por seu soquete de rede
netstat -nap | grep "@/proc/udevd"
Este pesquisa pelo módulo que instala
find /lib* -type f -name libns2.so
(Eu sei que este é um segmento antigo, mas estou adicionando informações adicionais para maior clareza.)
Se você está realmente infectado, praticamente a única solução confiável é limpar e reinstalar. No entanto, está bem estabelecido que, a partir do momento, o chrootkit freqüentemente identifica um falso positivo para Windigo.
No white paper sobre Windigo, publicado pela ESET, ele detalha outro método de verificação de windigo, observando os segmentos de memória compartilhada.
Essencialmente, você precisa executar:
sudo ipcs -m
e procure por entradas que tenham permissões maiores que 600 ou que usem uma quantidade relativamente grande de memória. Se não houver, provavelmente você está limpo.
Se houver, anote o id do segmento (shmid) e execute:
sudo ipcs -m -p
obtenha o ID do processo (pid) e você pode descobrir com qual processo está:
sudo ps aux | grep <pid>
Se você não reconhecer o processo, faça algumas pesquisas adicionais para determinar se é uma ameaça em potencial. Existe uma boa análise técnica, incluindo os hashes SHA-1 da infecção em link que será útil.
Tags malware chkrootkit osx