Tôi đã sử dụng chkrootkit, thông báo cho tôi rằng tôi đã cài đặt "Linux / Ebury Operation Windigo", tôi đã kiểm tra gấp đôi bằng cách chạy ssh -Gin ra sử dụng, mà không có "tùy chọn bất hợp pháp". Tôi đã xóa tất cả các tập tin ssh và cài đặt lại nó, nhưng khi tôi chạy ssh -Glại tôi vẫn có nó, cũng được phát hiện bởi chkrootkit.
Bạn có thể loại bỏ điều này mà không xóa toàn bộ ổ đĩa? Có tập tin nào tôi nên tìm không?
Câu trả lời:
Có nhiều hơn một cách để tìm hiểu xem bạn có thực sự bị nhiễm bệnh hay không. Từ những gì tôi đã đọc, hai cái này là phương pháp đã được thử và đúng vì chkrootkit chỉ trả lại sự nghi ngờ về việc bị nhiễm chứ không phải là một sự đảm bảo. Nếu bạn chạy hai lệnh sau và không có gì quay lại, tôi sẽ nói đó là dương tính giả.
Cái này tìm kiếm ổ cắm mạng của nó
netstat -nap | grep "@/proc/udevd"
Cái này tìm kiếm cho mô-đun nó cài đặt
find /lib* -type f -name libns2.so
(Tôi biết đây là một chủ đề cũ, nhưng tôi đang thêm thông tin bổ sung cho rõ ràng.)
Nếu bạn thực sự bị nhiễm bệnh, khá nhiều giải pháp đáng tin cậy duy nhất là xóa sạch và cài đặt lại. Tuy nhiên, vào thời điểm hiện tại, chrootkit thường xác định dương tính giả đối với Windigo.
Trong whitepaper trên Windigo mà ESET đã xuất bản, nó mô tả chi tiết một phương pháp khác để kiểm tra Windigo bằng cách xem xét các phân đoạn bộ nhớ được chia sẻ.
https://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf
Về cơ bản, bạn cần chạy:
sudo ipcs -m
và tìm kiếm bất kỳ mục nào có quyền lớn hơn 600 hoặc sử dụng một lượng bộ nhớ tương đối lớn. Nếu không có, thì bạn có khả năng sạch sẽ.
Nếu có, hãy lưu ý id phân đoạn (shmid) và chạy:
sudo ipcs -m -p
lấy id quá trình (pid) và bạn có thể tìm hiểu quy trình là gì:
sudo ps aux | grep <pid>
Nếu bạn không nhận ra quy trình thì hãy thực hiện một số nghiên cứu bổ sung để xác định xem đó có phải là mối đe dọa tiềm tàng hay không. Có một phân tích kỹ thuật tốt bao gồm băm SHA-1 của nhiễm trùng tại https://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/ sẽ hữu ích.