Chkrootkit dice "Buscando Linux / Ebury - Operación Windigo ssh ... Posible Linux / Ebury - Operación Windigo installetd", ¿debería preocuparme?

18

Recientemente corrí sudo chkrootkity este fue uno de los resultados:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

En mi investigación sobre esto descubrí este hilo , así que intenté ejecutar los comandos recomendados allí, los dos primeros comandos:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

No dio salida a nada. Sin embargo este comando:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Salida:

System infected

Entonces, ¿estoy infectado o no? Leí sobre esto (aunque encontré un informe más descriptivo antes pero no puedo encontrarlo de nuevo), entonces ¿podría ser este? He realizado una instalación nueva y todavía se está detectando. Entonces, ¿hay alguna forma de verificarlo más y debería estar preocupado?


Información del sistema operativo:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

Información del paquete:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status
muru
fuente

Respuestas:

13

El problema que tiene es que en Wily, el comando "ssh -G" no muestra la cadena "Operación ilegal" en la parte superior, pero aún muestra la ayuda del comando, así que creo que está bien. Todas mis instalaciones de Wily informan el mismo problema. Es una falla de detección. Chkrootkit necesita ser actualizado para cambiar su mecanismo de detección de sospechas.

Alexan Kulbashian
fuente
44
Se agregó una -G opción genuina en openssh 6.8P1.
Stéphane Chazelas
Entonces, si tengo la versión: OpenSSH_7.2p2 Ubuntu-4ubuntu1, OpenSSL 1.0.2g-fips 1 de marzo de 2016 y -G todavía trae la ayuda, ¿qué significa eso? Dice "-G hace que ssh imprima su configuración después de evaluar los bloques Host y Match y salir"
Chev_603
8

También recibí ese "posible" resultado de infestación con OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips en Ubuntu 16.04. Buscando en línea este problema, encontré el sitio:
https://www.cert-bund.de/ebury-faq
que ofrece algunas pruebas para realizar. Las pruebas de memoria compartida no fueron concluyentes, pero los otros tres resultados de la prueba indicaron un falso positivo. He creado un pequeño script simple para ejecutar después de que el posible resultado positivo aparezca en chkrootkit:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

También recomendaría instalar rkhunter como una comprobación adicional de rootkits.

Catwhisperer
fuente
7

La versión correcta de la prueba es:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

Como -Gse ha agregado una opción a ssh, -e Gges necesaria para evitar falsos positivos.

Biep
fuente