그것을 사용했는데 chkrootkit
"Linux/Ebury Operation Windigo"가 설치되어 있다는 메시지가 나타났습니다. ssh -G
인쇄된 사용법을 실행하여 다시 확인했는데 "불법 옵션"이 없었습니다. SSH 파일을 모두 삭제하고 다시 설치했는데 ssh -G
다시 실행해도 여전히 chkrootkit
.
전체 드라이브를 지우지 않고 삭제할 수 있나요? 제가 찾아야 할 문서가 있나요?
답변1
실제로 감염되었는지 확인하는 방법은 여러 가지가 있습니다. 내가 아는 한, chkrootkit은 보장이 아니라 감염 의심만 반환하므로 두 가지 방법 모두 시도된 실제 방법입니다. 다음 두 명령을 실행했지만 아무것도 반환되지 않으면 이는 거짓 긍정이라고 말하고 싶습니다.
웹 소켓을 검색합니다.
netstat -nap | grep "@/proc/udevd"
설치된 모듈을 검색합니다.
find /lib* -type f -name libns2.so
답변2
(이것이 오래된 스레드라는 것을 알고 있지만 명확성을 위해 추가 정보를 추가했습니다.)
감염된 경우 믿을 수 있는 유일한 해결책은 지우고 다시 설치하는 것입니다. 그러나 현재 chrootkit은 Windigo에 대한 오탐지를 자주 식별하는 것으로 알려져 있습니다.
공유 메모리 세그먼트를 확인하여 Windigo를 확인하는 또 다른 방법은 ESET에서 발행한 Windigo 백서에 자세히 설명되어 있습니다.
https://www.welivesecurity.com/wp-content/uploads/2014/03/Operation_windigo.pdf
기본적으로 다음을 실행해야 합니다.
sudo ipcs -m
그리고 600보다 큰 권한이 있거나 상대적으로 많은 양의 메모리를 사용하는 항목을 찾으십시오. 그렇지 않다면 아마도 깨끗할 것입니다.
그렇다면 세그먼트 ID( shmid )를 기록하고 다음을 실행합니다.
sudo ipcs -m -p
프로세스 ID(pid)를 얻으면 프로세스가 무엇인지 확인할 수 있습니다.
sudo ps aux | grep <pid>
프로세스를 인식하지 못하는 경우 추가 조사를 수행하여 잠재적인 위협인지 확인하세요. 감염의 SHA-1 해시를 포함한 훌륭한 기술적 분석이 있습니다.https://www.welivesecurity.com/2014/02/21/an-in-deep-analytic-of-linuxebury/이것이 도움이 될 것입니다.
답변3
ssh -G
수표는 오래된 것 같아요 . 방금 Ubuntu 18.04 및 20.04를 확인했는데 두 시스템이 모두 깨끗하다고 확신하더라도 "알 수 없음" 또는 "불법"이 반환되지 않습니다.
따라서 최신 시스템에서는 ssh -G
검사가 항상 거짓 긍정을 제공하는 것 같습니다.