Recentemente, executei sudo chkrootkit e esse foi um dos resultados:
Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd
Na minha pesquisa sobre isso eu descobri este tópico , então eu tentei executar os comandos recomendados lá, o primeiro dois comandos:
netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so
Não produziu nada. No entanto este comando:
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Saída:
System infected
Estou infectado ou não? Eu li sobre isso (embora eu tenha encontrado um relatório mais descritivo antes, mas não possa encontrá-lo novamente), então poderia ser isso? Eu fiz uma nova instalação e ela ainda está sendo detectada. Então, há alguma maneira de checar mais e eu deveria estar preocupado?
Informações do sistema operacional:
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 15.10
Release: 15.10
Codename: wily
Flavour: GNOME
GNOME Version: 3.18
Informações do pacote:
chkrootkit:
Installed: 0.50-3.1ubuntu1
Candidate: 0.50-3.1ubuntu1
Version table:
*** 0.50-3.1ubuntu1 0
500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
100 /var/lib/dpkg/status
O problema que você tem é que em Wily, o comando "ssh -G" não mostra a string "Illegal Operation" no topo, mas ainda mostra a ajuda do comando, então eu acho que você está bem. Todas as minhas instalações Wily estão relatando o mesmo problema. É uma falha de detecção. O chkrootkit precisa ser atualizado para mudar seu mecanismo de detecção de suspeitas.
Eu também recebi esse resultado de infestação "possível" executando o OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, o OpenSSL 1.0.2g-fips no Ubuntu 16.04. Olhando on-line para esta questão, encontrei o site: link
que dá alguns testes para executar. Os testes de memória compartilhada não foram conclusivos, mas os outros três resultados do teste foram indicativos de um falso positivo. Eu criei um pequeno script simples para ser executado depois que o possível resultado positivo aparecer no chkrootkit:
#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"
Eu também recomendaria a instalação de rkhunter como verificação adicional de rootkits.
A versão correta do teste é:
ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"
Como a opção -G foi adicionada ao ssh, o -e Gg é necessário para evitar falsos positivos.
Tags ssh security rootkit chkrootkit