Chkrootkit diz “Procurando por Linux / Ebury - Operação Windigo ssh… Possível Linux / Ebury - Operação Windigo installetd”, eu deveria estar preocupado?

15

Recentemente, executei sudo chkrootkit e esse foi um dos resultados:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

Na minha pesquisa sobre isso eu descobri este tópico , então eu tentei executar os comandos recomendados lá, o primeiro dois comandos:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

Não produziu nada. No entanto este comando:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Saída:

System infected

Estou infectado ou não? Eu li sobre isso (embora eu tenha encontrado um relatório mais descritivo antes, mas não possa encontrá-lo novamente), então poderia ser isso? Eu fiz uma nova instalação e ela ainda está sendo detectada. Então, há alguma maneira de checar mais e eu deveria estar preocupado?

Informações do sistema operacional:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

Informações do pacote:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status
    
por Great Uncle Bulgaria 14.12.2015 / 21:58

3 respostas

12

O problema que você tem é que em Wily, o comando "ssh -G" não mostra a string "Illegal Operation" no topo, mas ainda mostra a ajuda do comando, então eu acho que você está bem. Todas as minhas instalações Wily estão relatando o mesmo problema. É uma falha de detecção. O chkrootkit precisa ser atualizado para mudar seu mecanismo de detecção de suspeitas.

    
por Alexan Kulbashian 29.12.2015 / 09:00
6

Eu também recebi esse resultado de infestação "possível" executando o OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, o OpenSSL 1.0.2g-fips no Ubuntu 16.04. Olhando on-line para esta questão, encontrei o site: link
que dá alguns testes para executar. Os testes de memória compartilhada não foram conclusivos, mas os outros três resultados do teste foram indicativos de um falso positivo. Eu criei um pequeno script simples para ser executado depois que o possível resultado positivo aparecer no chkrootkit:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

Eu também recomendaria a instalação de rkhunter como verificação adicional de rootkits.

    
por Catwhisperer 13.09.2016 / 22:24
2

A versão correta do teste é:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

Como a opção -G foi adicionada ao ssh, o -e Gg é necessário para evitar falsos positivos.

    
O
por Biep 02.10.2017 / 04:45