Chkrootkit dit "Recherche de Linux / Ebury - Opération Windigo ssh ... Possible Linux / Ebury - Opération Windigo installetd", devrais-je m'inquiéter?

18

J'ai récemment couru sudo chkrootkitet ce fut l'un des résultats:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

Dans mes recherches à ce sujet, j'ai découvert ce fil , j'ai donc essayé d'exécuter les commandes recommandées ici, les deux premières commandes:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

Rien en sortie. Cependant cette commande:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Sortie:

System infected

Suis-je infecté ou non? J'ai lu à ce sujet (bien que j'aie déjà trouvé un rapport plus descriptif mais que je ne le trouve plus), est-ce que cela pourrait être le cas? J'ai fait une nouvelle installation et elle est toujours détectée. Existe-t-il un moyen de vérifier davantage et dois-je m'inquiéter?

Informations sur le système d'exploitation:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

Informations sur le paquet:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status
ssh security rootkit chkrootkit muru
la source

Réponses:

13

Le problème que vous avez est que dans Wily, la commande "ssh -G" ne génère pas la chaîne "Illegal Operation" en haut, mais elle affiche toujours l'aide de la commande, donc je pense que vous allez bien. Toutes mes installations Wily signalent le même problème. C'est une faille de détection. chkrootkit doit être mis à jour pour changer son mécanisme de détection des soupçons.

Alexan Kulbashian
la source
4
Une véritable -G option a été ajoutée dans openssh 6.8P1.
Stéphane Chazelas
Donc, si j'ai la version: OpenSSH_7.2p2 Ubuntu-4ubuntu1, OpenSSL 1.0.2g-fips 1 mars 2016 et -G affiche toujours l'aide, qu'est-ce que cela signifie? Il dit "-G oblige ssh à imprimer sa configuration après avoir évalué les blocs Host et Match et
quitte
8

J'ai également reçu ce résultat d'infestation "possible" avec OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips sur Ubuntu 16.04. En recherchant ce numéro en ligne, j'ai trouvé le site:
https://www.cert-bund.de/ebury-faq
qui donne quelques tests à effectuer. Les tests de mémoire partagée n'étaient pas concluants, mais les trois autres résultats de test étaient indicatifs d'un faux positif. J'ai créé un petit script simple à exécuter après que le résultat positif possible s'affiche sur chkrootkit:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

Je recommanderais également d'installer rkhunter comme une vérification supplémentaire des rootkits.

Catwhisperer
la source
7

La version correcte du test est:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

Comme une -Goption a été ajoutée à ssh, elle -e Ggest nécessaire pour éviter les faux positifs.

Biep
la source