चकोरोटिटक कहते हैं, "लिनक्स / ईबरी की खोज - ऑपरेशन विंडिगो एसएच ... संभावित लिनक्स / ईबरी - ऑपरेशन विंडिगो इंस्टाल्ट", क्या मुझे चिंतित होना चाहिए?


18

मैं हाल ही में भाग गया sudo chkrootkitऔर यह परिणामों में से एक था:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

इसके बारे में अपने शोध में मैंने इस सूत्र की खोज की , इसलिए मैंने वहां पहले से मौजूद दो आदेशों की सिफारिश करने वाले कमांड चलाने की कोशिश की:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

आउटपुट कुछ नहीं। हालाँकि यह आदेश:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

outputted:

System infected

तो क्या मैं संक्रमित हूं या नहीं? मैंने इस बारे में पढ़ा (हालाँकि मुझे पहले एक अधिक वर्णनात्मक रिपोर्ट मिली थी लेकिन फिर से नहीं मिली), तो क्या ऐसा हो सकता है? मैंने एक ताजा स्थापना की है और यह अभी भी पता लगाया जा रहा है। तो क्या आगे की जाँच का कोई तरीका है और क्या मुझे चिंतित होना चाहिए?


OS सूचना:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

पैकेज की जानकारी:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status

जवाबों:


13

आपके पास समस्या यह है कि विली में, कमांड "ssh -G" शीर्ष पर "अवैध संचालन" स्ट्रिंग को आउटपुट नहीं करता है, लेकिन यह अभी भी कमांड की मदद दिखाता है, इसलिए मुझे लगता है कि आप ठीक हैं। मेरे सभी विली इंस्टॉल एक ही मुद्दे की रिपोर्ट कर रहे हैं। यह एक पहचान दोष है। संदेह का पता लगाने वाले तंत्र को बदलने के लिए chkrootkit को अपडेट करने की आवश्यकता है।


4
खुलने के समय 6.8P1 में एक वास्तविक -G विकल्प जोड़ा गया था।
स्टीफन चेजलस

इसलिए, अगर मेरे पास संस्करण है: OpenSSH_7.2p2 Ubuntu-4ubuntu1, OpenSSL 1.0.2g-fips 1 Mar 2016 और -G अभी भी मदद लाता है, इसका क्या मतलब है? यह कहता है "-G होस्ट एंड मैच ब्लॉक्स और एक्जिट के मूल्यांकन के बाद अपने कॉन्फ़िगरेशन को प्रिंट करने का कारण
बनता है

8

मुझे यह भी पता चला है कि "संभव" infestation परिणाम UbuntuSS 16.04 पर OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips चल रहा है। इस मुद्दे के लिए ऑन-लाइन देख रहा हूं कि मुझे यह साइट मिली:
https://www.cert-bund.de/ebury-faq
जो प्रदर्शन करने के लिए कुछ परीक्षण देता है। साझा मेमोरी परीक्षण जहां निर्णायक नहीं हैं, लेकिन अन्य तीन परीक्षण परिणाम एक झूठी सकारात्मक के संकेत थे। मैंने chkrootkit पर संभावित सकारात्मक परिणाम दिखाने के बाद चलाने के लिए एक छोटी सी सरल स्क्रिप्ट बनाई है:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

मैं रूटकटर को रूटकिट्स के लिए एक और जांच के रूप में स्थापित करने की भी सिफारिश करूंगा


7

परीक्षण का सही संस्करण है:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

जैसा कि -Gssh में एक विकल्प जोड़ा गया है, -e Ggझूठी सकारात्मकता को रोकने के लिए आवश्यक है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.