それを使用したところ、chkrootkit「Linux / Ebury Operation Windigo」がインストールされているというメッセージが表示されました。ssh -G印刷された使用法を実行して再確認しましたが、「違法オプション」はありませんでした。 SSHファイルをすべて削除して再インストールしましたが、ssh -Gもう一度実行してもchkrootkit。
ドライブ全体を消去せずに削除できますか?私が探すべき文書がありますか?
答え1
実際に感染しているかどうかを確認する方法はいくつかあります。私が知っている限り、chkrootkitは保証ではなく感染疑いだけを返すので、両方の方法が試みられた実際の方法です。次の2つのコマンドを実行しましたが、何も返されない場合は、これは偽の肯定であると言いたいと思います。
Webソケットを検索します。
netstat -nap | grep "@/proc/udevd"
インストールされているモジュールを検索します。
find /lib* -type f -name libns2.so
答え2
(これは古いスレッドであることを知っていますが、明確にするために追加情報を追加しました。)
感染した場合に信頼できる唯一の解決策は、消去して再インストールすることです。しかし現在、chrootkitはWindigoの誤検出を頻繁に識別することが知られています。
共有メモリセグメントを確認してWindigoを確認する別の方法は、ESETによって発行されたWindigoホワイトペーパーで詳しく説明されています。
https://www.welivesecurity.com/wp-content/uploads/2014/03/Operation_windigo.pdf
デフォルトでは、以下を実行する必要があります。
sudo ipcs -m
そして、600以上の権限を持っているか、比較的大量のメモリを使用しているものを見つけます。そうでなければ、おそらくきれいです。
その場合は、セグメントID( shmid )を記録し、以下を実行します。
sudo ipcs -m -p
プロセスID(pid)を取得すると、プロセスが何であるかを確認できます。
sudo ps aux | grep <pid>
プロセスが認識されない場合は、さらに調査して潜在的な脅威であることを確認してください。感染のSHA-1ハッシュを含む優れた技術的分析があります。https://www.welivesecurity.com/2014/02/21/an-in-deep-analytic-of-linuxebury/これが役に立ちます。
答え3
ssh -G小切手は古いと思います。私はUbuntu 18.04と20.04を確認しましたが、両方のシステムがきれいであると確信しても、「不明」または「違法」は返されません。
したがって、最新のシステムでは、ssh -G検査は常に偽の肯定を提供するようです。