Chkrootkit diz “Procurando Linux / Ebury - Operação Windigo ssh… Possível Linux / Ebury - Operação Windigo installetd”, devo me preocupar?

18

Eu corri recentemente sudo chkrootkite este foi um dos resultados:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

Na minha pesquisa sobre isso, descobri esse segmento , então tentei executar os comandos recomendados lá, os dois primeiros comandos:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

Não produziu nada. No entanto, este comando:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Saída:

System infected

Então, eu estou infectado ou não? Eu li sobre isso (embora eu tenha encontrado um relatório mais descritivo antes, mas não possa encontrá-lo novamente), então poderia ser isso? Fiz uma nova instalação e ela ainda está sendo detectada. Então, existe alguma maneira de checar mais? Devo me preocupar?


Informações do SO:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

Informações do pacote:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status
muru
fonte

Respostas:

13

O problema que você tem é que, no Wily, o comando "ssh -G" não gera a string "Operação ilegal" na parte superior, mas ainda mostra a ajuda do comando, então acho que você está bem. Todas as minhas instalações do Wily estão relatando o mesmo problema. É uma falha de detecção. O chkrootkit precisa ser atualizado para alterar seu mecanismo de detecção de suspeitas.

Alexan Kulbashian
fonte
4
Uma opção genuína -G foi adicionada no openssh 6.8P1.
Stéphane Chazelas
Portanto, se eu tenho a versão: OpenSSH_7.2p2 Ubuntu-4ubuntu1, OpenSSL 1.0.2g-fips 1 de março de 2016 e -G ainda traz a ajuda, o que isso significa? Ele diz "-G Faz com que o ssh imprima sua configuração depois de avaliar os blocos Host e Match e saia"
Chev_603
8

Também recebi esse resultado "possível" de infestação executando o OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips no Ubuntu 16.04. Procurando on-line por esse problema, encontrei o site:
https://www.cert-bund.de/ebury-faq,
que fornece alguns testes para executar. Os testes de memória compartilhada não foram conclusivos, mas os outros três resultados foram indicativos de um falso positivo. Eu criei um pequeno script simples para executar após o possível resultado positivo aparecer no chkrootkit:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

Eu também recomendaria instalar o rkhunter como uma verificação adicional dos rootkits.

Catwhisperer
fonte
7

A versão correta do teste é:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

Como uma -Gopção foi adicionada ao ssh, -e Ggé necessário para evitar falsos positivos.

Biep
fonte