(Tôi biết đây là một chủ đề cũ, nhưng tôi đang thêm thông tin bổ sung cho rõ ràng.)
Nếu bạn thực sự bị nhiễm bệnh, khá nhiều giải pháp đáng tin cậy duy nhất là xóa sạch và cài đặt lại. Tuy nhiên, vào thời điểm hiện tại, chrootkit thường xác định dương tính giả đối với Windigo.
Trong whitepaper trên Windigo mà ESET đã xuất bản, nó mô tả chi tiết một phương pháp khác để kiểm tra Windigo bằng cách xem xét các phân đoạn bộ nhớ được chia sẻ.
https://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf
Về cơ bản, bạn cần chạy:
sudo ipcs -m
và tìm kiếm bất kỳ mục nào có quyền lớn hơn 600 hoặc sử dụng một lượng bộ nhớ tương đối lớn. Nếu không có, thì bạn có khả năng sạch sẽ.
Nếu có, hãy lưu ý id phân đoạn (shmid) và chạy:
sudo ipcs -m -p
lấy id quá trình (pid) và bạn có thể tìm hiểu quy trình là gì:
sudo ps aux | grep <pid>
Nếu bạn không nhận ra quy trình thì hãy thực hiện một số nghiên cứu bổ sung để xác định xem đó có phải là mối đe dọa tiềm tàng hay không. Có một phân tích kỹ thuật tốt bao gồm băm SHA-1 của nhiễm trùng tại https://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/ sẽ hữu ích.