Linux Mint:ルートキットに感染しました

Linux Mint:ルートキットに感染しました

私の管理者アカウントにログインしようとしていますが、パスワードが正しくないと思います。 USBドライブからコピーして貼り付けたので間違えません。パスワードをリセットしてchkrootkitをインストールし、ルートキットに感染していることを発見しました。では、chkrootkitが報告したファイルを直接削除するにはどうすればよいですか?端子出力は次のとおりです。

user1@user1-linux ~ $ sudo chkrootkit
[sudo] password for username: 
ROOTDIR is `/'
Checking `amd'...                                           not found
Checking `basename'...                                      not infected
Checking `biff'...                                          not found
Checking `chfn'...                                          not infected
Checking `chsh'...                                          not infected
Checking `cron'...                                          not infected
Checking `crontab'...                                       not infected
Checking `date'...                                          not infected
Checking `du'...                                            not infected
Checking `dirname'...                                       not infected
Checking `echo'...                                          not infected
Checking `egrep'...                                         not infected
Checking `env'...                                           not infected
Checking `find'...                                          not infected
Checking `fingerd'...                                       not found
Checking `gpm'...                                           not found
Checking `grep'...                                          not infected
Checking `hdparm'...                                        not infected
Checking `su'...                                            not infected
Checking `ifconfig'...                                      not infected
Checking `inetd'...                                         not infected
Checking `inetdconf'...                                     not found
Checking `identd'...                                        not found
Checking `init'...                                          not infected
Checking `killall'...                                       not infected
Checking `ldsopreload'...                                   not infected
Checking `login'...                                         not infected
Checking `ls'...                                            not infected
Checking `lsof'...                                          not infected
Checking `mail'...                                          not found
Checking `mingetty'...                                      not found
Checking `netstat'...                                       not infected
Checking `named'...                                         not found
Checking `passwd'...                                        not infected
Checking `pidof'...                                         not infected
Checking `pop2'...                                          not found
Checking `pop3'...                                          not found
Checking `ps'...                                            not infected
Checking `pstree'...                                        not infected
Checking `rpcinfo'...                                       not found
Checking `rlogind'...                                       not found
Checking `rshd'...                                          not found
Checking `slogin'...                                        not infected
Checking `sendmail'...                                      not found
Checking `sshd'...                                          not found
Checking `syslogd'...                                       not tested
Checking `tar'...                                           not infected
Checking `tcpd'...                                          not infected
Checking `tcpdump'...                                       not infected
Checking `top'...                                           not infected
Checking `telnetd'...                                       not found
Checking `timed'...                                         not found
Checking `traceroute'...                                    not found
Checking `vdir'...                                          not infected
Checking `w'...                                             not infected
Checking `write'...                                         not infected
Checking `aliens'...                                        no suspect files
Searching for sniffer's logs, it may take a while...        nothing found
Searching for rootkit HiDrootkit's default files...         nothing found
Searching for rootkit t0rn's default files...               nothing found
Searching for t0rn's v8 defaults...                         nothing found
Searching for rootkit Lion's default files...               nothing found
Searching for rootkit RSHA's default files...               nothing found
Searching for rootkit RH-Sharpe's default files...          nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:  
/usr/lib/python3/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/pymodules/python2.7/.path /lib/modules/3.19.0-32-generic/vdso/.build-id
/lib/modules/3.19.0-32-generic/vdso/.build-id
Searching for LPD Worm files and dirs...                    nothing found
Searching for Ramen Worm files and dirs...                  nothing found
Searching for Maniac files and dirs...                      nothing found
Searching for RK17 files and dirs...                        nothing found
Searching for Ducoci rootkit...                             nothing found
Searching for Adore Worm...                                 nothing found
Searching for ShitC Worm...                                 nothing found
Searching for Omega Worm...                                 nothing found
Searching for Sadmind/IIS Worm...                           nothing found
Searching for MonKit...                                     nothing found
Searching for Showtee...                                    nothing found
Searching for OpticKit...                                   nothing found
Searching for T.R.K...                                      nothing found
Searching for Mithra...                                     nothing found
Searching for LOC rootkit...                                nothing found
Searching for Romanian rootkit...                           nothing found
Searching for Suckit rootkit...                             Warning: /sbin/init INFECTED
Searching for Volc rootkit...                               nothing found
Searching for Gold2 rootkit...                              nothing found
Searching for TC2 Worm default files and dirs...            nothing found
Searching for Anonoying rootkit default files and dirs...   nothing found
Searching for ZK rootkit default files and dirs...          nothing found
Searching for ShKit rootkit default files and dirs...       nothing found
Searching for AjaKit rootkit default files and dirs...      nothing found
Searching for zaRwT rootkit default files and dirs...       nothing found
Searching for Madalin rootkit default files...              nothing found
Searching for Fu rootkit default files...                   nothing found
Searching for ESRK rootkit default files...                 nothing found
Searching for rootedoor...                                  nothing found
Searching for ENYELKM rootkit default files...              nothing found
Searching for common ssh-scanners default files...          nothing found
Searching for suspect PHP files...                          nothing found
Searching for anomalies in shell history files...           nothing found
Checking `asp'...                                           not infected
Checking `bindshell'...                                     not infected
Checking `lkm'...                                           chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'...                                       not found
Checking `sniffer'...                                       lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient[1166])
Checking `w55808'...                                        not infected
Checking `wted'...                                          chkwtmp: nothing deleted
Checking `scalper'...                                       not infected
Checking `slapper'...                                       not infected
Checking `z2'...                                            user user2 deleted or never logged from lastlog!
user user1 deleted or never logged from lastlog!
user user3 deleted or never logged from lastlog!
Checking `chkutmp'...                                        The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! rasmus       2650 pts/0  /usr/bin/xflux -l 60° -k 3400 -nofork
chkutmp: nothing deleted
Checking `OSX_RSPLUG'...                                    not infected

混乱した形でごめんなさい。正しく表示する方法がわかりません。それにもかかわらず、次のファイルが感染しています。

The following suspicious files and directories were found:  
/usr/lib/python3/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/pymodules/python2.7/.path /lib/modules/3.19.0-32-generic/vdso/.build-id
/lib/modules/3.19.0-32-generic/vdso/.build-id

Searching for Suckit rootkit...                             Warning: /sbin/init INFECTED

また、疑わしいアクティビティを記録するようにファイアウォール設定を変更しました。私は今Windowsを使用しています。 Windowsパーティションに広がらないことを願っています。

編集:私はLinux MintをプライベートOSとして使用しているため、ネットワークは影響を受けません。私はちょうどドライブを拭きます。

答え1

ウェブでいくつかの検索結果が提案されています可能誤警報の可能性が高いです。バージョンを確認してくださいchkrootkit

$  chkrootkit -V

バージョンより低い場合は、0.50偽の肯定を返すことができますSuckitここバグ報告のため。


さらに、ミントのホームページも指摘された。妥協する~へ2016年2月20日ISOイメージにバックドアがありますが、これが報告する内容とどのような関係があるのか​​よくわかりません。しかし、まだ試してみることができます。

ISOが損傷しているかどうかを確認するには?

まだISOファイルがある場合は、「md5sum yourfile.iso」(ここでyourfile.isoはISO名です)コマンドを使用してMD5署名を確認してください。

これ有効な署名次のように:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

焼いたDVDまたはUSBスティックがまだある場合は、それを使用してコンピュータまたは仮想マシンをオフラインで起動し(疑わしい場合はルータの電源を切って)、ライブセッションをロードしてください。

ライブセッションでISOにファイルがある場合、/var/lib/man.cyこれは感染したISOです。

最後に、これらのファイルは長年にわたって破損しており、スキャン異常を実行する方がMD5良いでしょう。 SHA-1SHA-256

答え2

通常、LinuxルートキットがWindowsシステムに広がっていることを心配する必要はありませんが、感染したネットワークがそのネットワーク上のすべてのシステムで同様の問題を引き起こす可能性があることに注意してください。

削除しないでください/sbin/初期化!起動/終了を制御するため、それを削除するとシステムを起動できなくなります。

chkrootkitは署名のみを探し、既知のルートキットファイルがあるかどうかを確認しないため、誤検出が発生しやすくなります。 Javaは、他の多くのプログラミングツールと同様に、これらの誤検出を引き起こすことで悪名高いです。

rkhunterをインストールしてシステムから署名ファイルを検索するので、システムをチェックすることをお勧めしますが、間違った肯定が発生しやすいので、そのファイルがそのファイルに属しているかどうかを再確認せずに、ファイルを速く削除しないでください。

ディストリビューションにlivecdがある場合は、通常/sbin/initをシステムにコピーすると正常に起動しますが、保証はできません。

個人的には、ネットワークファイアウォールとして機能するシステムでパスワードが漏洩したことが確実である場合は、新規インストールを選択し、システムを保護するためのより徹底的な措置を講じます。

chkrootkitやrkhunterなどのツールは、デフォルトのエントリポイントではなくエンドポイントシステム、特にホームユーザーにとってより便利です。主に重要なのは、セキュリティの世界で常に新しい開発を追求しているため、最新の活用をブロックしないからです。 。

ファイアウォールがルーティングされたら、ネットワーク上のすべてのシステムを確認することも重要です。 Linuxファイアウォールはパスワードを変更してユーザーをブロックできますが、Windowsシステムも簡単なターゲットになります。

この露骨な攻撃は、攻撃者がロックされたシステムにあなたを脅迫する意図を持っていることを意味する可能性があるため、金銭を要求するメッセージが含まれている可能性がある電子メールログを確認し、問題を地域の当局に報告することをお勧めします。これらのグループを追跡するのに役立つようにゾーンを指定します。

答え3

感染したディスクのイメージを撮影し、イメージのオフラインコピーのsleuthkitの解剖を使用してタイムラインを作成し、/ sbin / initファイルが変更されたときにファイルシステムの変更を見つけることをお勧めします。 Perp / rootkitは変更、アクセス、および作成のタイムスタンプを停止できますが、少なくとも彼らが望むものは何かを理解することができます。 - デバイスをボット、ランサムウェアに置き換えるか、ネットワークを検索します。

http://www.sleuthkit.org/autopsy/docs/quick/を参照してください。

あるいは、実際に何が起こったのかを知らせる地元の認定サイバーフォレンジック専門家を雇ってください。

答え4

ルートキットを処理する最善の方法は、ドライブを消去することです。ただし、データの重要性によって異なります。別のSU / rootアカウントを作成し、rootkitを実行しているアカウントの権限を無効にしたり削除したりできます。

誤検知を再確認しましたか?

関連情報