Chkrootkit กล่าวว่า“ การค้นหา Linux / Ebury - Operation Windigo ssh …เป็นไปได้ Linux / Ebury - Operation Windigo installetd” ฉันควรจะกังวลไหม?

ฉันวิ่งเร็ว ๆ นี้sudo chkrootkitและนี่คือผลลัพธ์อย่างหนึ่ง:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

ในการวิจัยของฉันเกี่ยวกับเรื่องนี้ฉันค้นพบกระทู้นี้ดังนั้นฉันจึงลองใช้คำสั่งที่แนะนำที่นั่นสองคำสั่งแรก:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

เอาท์พุทอะไร อย่างไรก็ตามคำสั่งนี้:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

เอาท์พุท:

System infected

ฉันติดเชื้อหรือไม่ ฉันอ่านเกี่ยวกับเรื่องนี้ (แม้ว่าฉันจะพบรายงานที่มีคำอธิบายมากกว่านี้มาก่อน แต่ไม่สามารถหามันได้อีก) ดังนั้นนี่เป็นไปได้ไหม ฉันทำการติดตั้งใหม่แล้วและยังคงตรวจพบอยู่ ดังนั้นมีวิธีการตรวจสอบเพิ่มเติมและฉันควรกังวล?

ข้อมูลระบบปฏิบัติการ:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

ข้อมูลแพ็คเกจ:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status

ปัญหาที่คุณมีคือใน Wily คำสั่ง "ssh -G" ไม่ได้ส่งออกสตริง "Illegal Operation" ที่ด้านบน แต่ก็ยังแสดงคำสั่งช่วยเหลือดังนั้นฉันคิดว่าคุณสบายดี การติดตั้ง Wily ของฉันทั้งหมดกำลังรายงานปัญหาเดียวกัน มันเป็นข้อบกพร่องในการตรวจจับ chkrootkit จำเป็นต้องได้รับการอัปเดตเพื่อเปลี่ยนกลไกการตรวจจับความสงสัย

ฉันยังได้รับผลการรบกวน "ที่เป็นไปได้" ซึ่งเรียกใช้ OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips บน Ubuntu 16.04 กำลังค้นหาปัญหาออนไลน์พบเว็บไซต์:
https://www.cert-bund.de/ebury-faq
ซึ่งให้การทดสอบบางอย่างเพื่อดำเนินการ การทดสอบหน่วยความจำแบบแบ่งใช้ที่ไม่ได้ข้อสรุป แต่ผลการทดสอบอีกสามข้อบ่งชี้ว่ามีผลบวกที่ผิดพลาด ฉันได้สร้างสคริปต์ง่าย ๆ ขนาดเล็กเพื่อเรียกใช้หลังจากผลลัพธ์บวกที่เป็นไปได้ปรากฏขึ้นบน chkrootkit:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

ฉันขอแนะนำให้ติดตั้งrkhunterเพื่อตรวจสอบรูทคิทเพิ่มเติม

การทดสอบเวอร์ชันที่ถูกต้องคือ:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

เนื่องจาก-Gมีการเพิ่มตัวเลือกใน ssh -e Ggจึงจำเป็นต้องมีเพื่อป้องกันการตั้งค่าผิดพลาด