web-dev-qa-db-fra.com

Chkrootkit dit "Rechercher Linux / Ebury - Opération Windigo ssh ... Possible Linux / Ebury - Opération Windigo installetd", devrais-je m'inquiéter?

J'ai récemment lancé Sudo chkrootkit et c'était l'un des résultats:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

Lors de mes recherches sur ce sujet, j'ai découvert ce fil , alors j'ai essayé de lancer les commandes recommandées ici, les deux premières commandes:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

Rien sorti. Cependant cette commande:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Sortie:

System infected

Alors, suis-je infecté ou non? J'ai lu à ce sujet (bien que j'aie déjà trouvé un rapport plus descriptif mais que je ne le retrouve pas encore), alors est-ce que ça pourrait être ça? J'ai effectué une nouvelle installation et elle est toujours détectée. Alors, y a-t-il moyen de vérifier davantage et devrais-je m'inquiéter?

Informations sur le système d'exploitation: 

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

Informations sur le package: 

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe AMD64 Packages
        100 /var/lib/dpkg/status
sshsecurityrootkitchkrootkit
17
user364819

Le problème que vous avez est que dans Wily, la commande "ssh -G" ne renvoie pas la chaîne "Opération illégale" en haut, mais affiche toujours l'aide de la commande, donc je pense que vous allez bien. Toutes mes installations Wily signalent le même problème. C'est un défaut de détection. chkrootkit doit être mis à jour pour changer le mécanisme de détection des soupçons.

13
Alexan Kulbashian

J'ai également reçu ce résultat "possible" d'infestation sous OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips sur Ubuntu 16.04. En cherchant en ligne ce problème, j'ai trouvé le site:
https://www.cert-bund.de/ebury-faq
qui donne quelques tests à effectuer. Les tests de mémoire partagée n'étaient pas concluants, mais les trois autres résultats indiquaient un faux positif. J'ai créé un petit script simple à exécuter après l'affichage du résultat positif possible sur chkrootkit:

#! /bin/bash
#
# Result filesize should be less that 15KB.
Sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
Sudo find /lib* -type f -name libns2.so
# Result should return null.
Sudo netstat -nap | grep "@/proc/udevd"

Je recommanderais également d'installer rkhunter pour vérifier davantage les rootkits.

8
Catwhisperer

La version correcte du test est:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

Comme une option -G a été ajoutée à ssh, le -e Gg est nécessaire pour éviter les faux positifs.

7
Biep