Chkrootkit sagt: "Auf der Suche nach Linux / Ebury - Operation Windigo ssh ... Möglicherweise Linux / Ebury - Operation Windigo installetd", sollte ich mir Sorgen machen?

18

Ich bin kürzlich gelaufen sudo chkrootkitund dies war eines der Ergebnisse:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

Bei meinen Recherchen zu diesem Thema habe ich diesen Thread entdeckt und versucht, die dort empfohlenen Befehle auszuführen, die ersten beiden Befehle:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

Nichts ausgegeben. Dieser Befehl lautet jedoch:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Ausgegeben:

System infected

Bin ich also infiziert oder nicht? Ich habe darüber gelesen (obwohl ich zuvor einen aussagekräftigeren Bericht gefunden habe, ihn aber nicht wiederfinden kann). Könnte es das sein? Ich habe eine Neuinstallation durchgeführt und es wird immer noch erkannt. Gibt es also eine Möglichkeit zur weiteren Überprüfung und sollte ich mir Sorgen machen?

Informationen zum Betriebssystem:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

Paketinformationen:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status
ssh security rootkit chkrootkit muru
quelle

Antworten:

13

Das Problem, das Sie haben, ist, dass in Wily der Befehl "ssh -G" nicht die Zeichenfolge "Illegal Operation" oben ausgibt, aber dennoch die Befehlshilfe anzeigt, sodass ich denke, dass es Ihnen gut geht. Alle meine Wily-Installationen melden dasselbe Problem. Es ist ein Erkennungsfehler. chkrootkit muss aktualisiert werden, um den Mechanismus zur Erkennung des Verdachts zu ändern.

Alexan Kulbashian
quelle
4
Eine echte -G Option wurde in openssh 6.8P1 hinzugefügt.
Stéphane Chazelas
Also, wenn ich Version habe: OpenSSH_7.2p2 Ubuntu-4ubuntu1, OpenSSL 1.0.2g-fips 1. März 2016 und -G bringt immer noch die Hilfe, was bedeutet das? Es heißt "-G Veranlasst ssh, seine Konfiguration zu drucken, nachdem
Host-
8

Ich habe auch das "mögliche" Befallsergebnis mit OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips unter Ubuntu 16.04 erhalten. Online nach dieser Ausgabe suchend, fand ich die Seite:
https://www.cert-bund.de/ebury-faq,
das einige durchzuführende Tests enthält. Die Shared-Memory-Tests waren nicht schlüssig, aber die anderen drei Testergebnisse wiesen auf ein falsches Positiv hin. Ich habe ein kleines einfaches Skript erstellt, das ausgeführt werden soll, nachdem das mögliche positive Ergebnis in chkrootkit angezeigt wird:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

Ich würde auch empfehlen, rkhunter als weitere Überprüfung für Rootkits zu installieren .

Katzenflüsterer
quelle
7

Die korrekte Version des Tests lautet:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

Als -GOption wurde ssh hinzugefügt -e Gg, um Fehlalarme zu vermeiden.

Biep
quelle