Chkrootkit은“Linux / Ebury 검색-Windigo ssh 작업… 가능한 Linux / Ebury-Windigo installetd 작업”이라고 말합니다. 걱정해야합니까?

나는 최근에 달렸고 sudo chkrootkit이것은 결과 중 하나였습니다.

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

이것에 대한 연구 에서이 스레드를 발견 했으므로 처음 두 명령에서 권장되는 명령을 실행하려고했습니다.

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

아무것도 출력하지 않았습니다. 그러나이 명령은 다음과 같습니다.

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

출력 :

System infected

내가 감염 되었습니까? 나는 이것에 대해 읽었습니다 (이전에 더 설명적인 보고서를 찾았지만 다시 찾을 수는 없습니다), 이것이 될 수 있습니까? 새로 설치했는데 여전히 감지됩니다. 추가 검사 방법이 있습니까? 걱정해야합니까?

OS 정보 :

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

패키지 정보 :

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status

문제는 Wily에서 "ssh -G"명령이 맨 위에 "Illegal Operation"문자열을 출력하지 않지만 여전히 명령 도움말을 표시하므로 문제가 없다는 것입니다. 모든 Wily 설치에서 동일한 문제가보고됩니다. 감지 결함입니다. 의심 탐지 메커니즘을 변경하려면 chkrootkit을 업데이트해야합니다.

또한 Ubuntu 16.04에서 OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips를 실행하는 "가능한"침입 결과를 받았습니다. 이 문제를 온라인으로보고 사이트를 찾았습니다.
https://www.cert-bund.de/ebury-faq
는 수행 할 테스트를 제공합니다. 공유 메모리 테스트는 결정적이지 않지만 다른 세 가지 테스트 결과는 오 탐지를 나타냅니다. chkrootkit에 가능한 긍정적 인 결과가 나타난 후에 실행할 작은 간단한 스크립트를 만들었습니다.

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

루트킷에 대한 추가 검사로 rkhunter 를 설치하는 것이 좋습니다 .

테스트의 올바른 버전은 다음과 같습니다.

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

A와 -G옵션이 SSH에 추가되었습니다는이 -e Gg잘못된 반응을 방지하기 위해 필요하다.