Chkrootkit nói rằng Tìm kiếm Linux / Ebury - Hoạt động Windigo ssh 99 Có thể Linux / Ebury - Chiến dịch cài đặt Windigo cài đặt, tôi có nên lo lắng không?

Gần đây tôi đã chạy sudo chkrootkitvà đây là một trong những kết quả:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

Trong nghiên cứu của tôi về điều này, tôi đã phát hiện ra chủ đề này , vì vậy tôi đã thử chạy các lệnh được đề nghị ở đó, hai lệnh đầu tiên:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

Xuất ra không có gì. Tuy nhiên lệnh này:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Xuất ra:

System infected

Vậy tôi có bị nhiễm hay không? Tôi đã đọc về điều này (mặc dù tôi đã tìm thấy một báo cáo mô tả nhiều hơn trước đây nhưng không thể tìm thấy nó một lần nữa), vậy đây có phải là nó không? Tôi đã thực hiện một cài đặt mới và nó vẫn đang được phát hiện. Vì vậy, có cách nào để kiểm tra thêm và tôi có nên lo lắng?

Thông tin hệ điều hành:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

Thông tin gói hàng:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status

Vấn đề bạn gặp phải là ở Wily, lệnh "ssh -G" không xuất ra chuỗi "Hoạt động bất hợp pháp" ở trên cùng, nhưng nó vẫn hiển thị trợ giúp về lệnh, vì vậy tôi nghĩ bạn vẫn ổn. Tất cả các cài đặt Wily của tôi đều báo cáo cùng một vấn đề. Đó là một lỗ hổng phát hiện. chkrootkit cần được cập nhật để thay đổi cơ chế phát hiện nghi ngờ của nó.

Tôi cũng nhận được kết quả phá hoại "có thể" khi chạy OpenSSH_7.2p2 Ubuntu-4ubfox2.1, OpenSSL 1.0.2g-fips trên Ubuntu 16.04. Tìm kiếm trực tuyến về vấn đề này, tôi tìm thấy trang web:
https://www.cert-bund.de/ebury-faq
cung cấp một số thử nghiệm để thực hiện. Các bài kiểm tra bộ nhớ được chia sẻ trong trường hợp không kết luận, nhưng ba kết quả kiểm tra khác cho thấy kết quả dương tính giả. Tôi đã tạo một tập lệnh đơn giản nhỏ để chạy sau khi kết quả khả quan có thể xuất hiện trên chkrootkit:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

Tôi cũng khuyên bạn nên cài đặt rkhunter như một kiểm tra thêm cho rootkit.

Phiên bản chính xác của bài kiểm tra là:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

Là một -Gtùy chọn đã được thêm vào ssh, -e Ggcần thiết để ngăn chặn các kết quả dương tính giả.