chkrootkitからの誤報＞＞Back_doorが仕込まれた？

（OSいじりちうの備忘録です＜文脈・誤字不問です～　^^）
Ubuntu-Sever 16.04 LTSをインストールしたBxbt-2807で、chkrootkitを実行した結果、下記の1行をみつけました。

「Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd」
「Eburyっていう（ssh関連の）Rootkitがしこまれたよ」？

ぐぐってみると、「chkrootkitのバグ・誤報」って情報が溢れています。
でも、なぜか英語の情報ばっかりだわ。。。。。＞＜

気になるので、ステップを追ってUbuntu-Sever 16.04 LTSをクリーンインストールし直してみます。
（↑　OSいじり遊びの理由ができた～～　＾＾）


１）正規urlからダウンロードしたimgファイルで、CDを使用して最小構成をインストール
　　　　Openssh-server、Standard systemもインストール対象からはずしておきます。

２）sudo apt-get update, sudo apt-get upgrade　で、OSをUpdateしておきます。
　　　　kept-backが出ているので、sudo apt-get dist-upgrade

３）rootのパスワードを変更しておきます。
　　　sudo passwd root

４）ufw をインストールして、すべてのポートを閉じておきます。（自宅サーバーなので）
　　　sudo ufw disable
　　　sudo ufw default DENY
　　　sudo ufw enable

５）chkrootkitをインストールし、実行
　　　sudo apt-get install chkrootkit
　　　sudo chkrootkit

お～～、もうこの段階で以下の警報がでています。
「Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd」

変な所へは接続していませんし、ポートも閉じていますので、5分ほどの間にrootkitが仕込まれたとは考えにくいですよね。
やっぱりchkrootkitのバグですね～。

どうも、 chkrootkitのサポートは休止しているみたいで、改善されないみたいです。

６）nano, openssh-serverをインスト
　　　sudo apt-get install openssh-server
　　　sudo apt-get install nano
　　　sudo nano /etc/ssh/sshd_config で、使用ポート22を「xxxxx」にし、
　　　PermitRootLogin no　に変更
　　　
　　　ufwで、変更したポートをLan内の特定機からのみに開いておきます。
　　　　　sudo ufw allow from 192.168.**.** to any port xxxxx

７）chkrootkitの代わりに、rkhunterをインストールします。
　　　sudo apt-get install rkhunter
　　　使用方法
         sudo rkhunter --update 更新
　　　　sudo rkhunter --propupd　 File-properties-data更新、OSupdate/upgrade時に必要
　　　　sudo rkhunter -c　　　　　チェック実行

　　　scanしてみましたが、rkhunterは「異常なし」でオールグリーンです^^)
　　　No warnings were found while checking the system.

８）あと、以下のものを順次インストールしていきます。
　　　lsof, aptitude, bash-completion, lm-sensors, screen, dnsutils, mono-complete,
　　 exim4, logwatch
　　　　
９）rkhunterで、File-properties-data更新後に再チェック
　　　　　　　　sudo rkhunter --propupd　 File-properties-data更新
　　　　　　　　sudo rkhunter -c　　　　　チェック実行
　　
１０）Opensimを入れて、運転開始





ここで、rkhunterのscan経過をSSで追ってみます。

まず、File-propertiesのチェック結果画面
OSのupgradeや新規パッケージのインストロール後にrkhunterを作動させると、ここに警報が出る場合があります。
「sudo rkhunter --propupd　 File-properties-data更新」の実行が必要になります。

次は心臓部のrootkit検査中の画面

NetworkやLocal-hostの設定状態もチェックしてくれています。

最後は総合結果の表示です。

OpenSim立ち上げ後にscanしてみると警報がでました。

「sudo nano /var/log/rkhunter.log」でログファイルを調べてみると、
Performing filesystem checks
[07:33:58] Warning: Suspicious file types found in /dev:
[07:33:58] /dev/shm/mono.15209: data

ファイル形式がちと変わっていますが、Opensimでmonoが実行中にramdisk領域（tmpfs）に作成される一時ファイルです。15209の部分がいろいろ変化します。
OpenSimを停止させると、このファイルは無くなりますね。

安全だろうと勝手に思い込んで、rkhunter設定ファイルを編集

$ sudo nano /etc/rkhunter.confに以下を追記して安全定義しました。。。^^)
ALLOWDEVFILE=/dev/shm/mono.*

さて、大丈夫かな～？＜＜　もう少し遊べそう・・・・