Linux/EburyやOperation Windigoを調べていて、以下の日本語の記事を見つけました。
「オペレーションWindigo:大量のLinuxサーバーの認証情報を盗むマルウェア活動を解き明かす」
http://canon-its.jp/eset/malware_info/news/140626/
記事内で、Windigoの検出方法が紹介されていますが、抜粋は以下の通りです。
「「Linux/Ebury」の場合、シェルから「ssh -G」というコマンドを打ってみる。「Linux/Ebury」は、本来「G」というオプションは存在しないため、感染していなければ、「ssh: illegal option -- G」とエラーが返される。「Linux/Ebury」が、「-Gオプション」を追加する特徴を逆手にとったチェック方法だ。
他の海外の記事でも、Windigo感染有無の見分けるには、以下の命令実行で済むと紹介されてます。
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
どちらの見分け方も、原理は同じですね。
chkrootkitも同様の判定手法を採用しているとのことです。
そこで、家で稼働している3つのlinuxで試してみました。
1)raspberry_pi2機 Linux raspi 4.1.19-v7+ #858 SMP Tue Mar 15 15:56:00 GMT 2016 armv7l
2)XS-35機 Ubuntu 14.04.4 LTS (GNU/Linux 3.13.0-91-generic i686)
3)bxbt機 Ubuntu 16.04 LTS (GNU/Linux 4.4.0-28-generic x86_64)
「ssh -G」を実行してみますと、
1)では「ssh: illegal option -- G」
2)では「unknown option -- G」
3)「illegal option あるいunknown option」の返答なしです。
これで、chkrootkitが警報を出した原因が解ったような気がします。
でも3)のbxbt機で、Ubuntu-server 16.04 LTSのクリーンインストール直後の最初の立ち上げでも、「ssh -G」の実行結果は同じになります。まさか、最初からrootkit付きのimgファイルが配布されたとは思えませんし。。。
Ubuntu 16.04でopenssh-clientの仕様変更がなされたのか、それともバグなのかがはっきり解りません。
7月末リリース予定の16.04.01 LTSで元に戻るかな~?
---------------------------------------------------------------------
(追記2016.07.02 15:20)
仕様追加で-GがOKになっていますね。。。。
http://man.openbsd.org/ssh
「 -G Causes ssh to print its configuration after evaluating Host and Match blocks and exit.」
最初に表記される以下の部分に「-G」がないので、誤解していました。
ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
[-D [bind_address:]port] [-E log_file] [-e escape_char]
[-F configfile] [-I pkcs11] [-i identity_file] [-L address]
[-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
[-Q query_option] [-R address] [-S ctl_path] [-W host:port]
[-w local_tun[:remote_tun]] [user@]hostname [command]
でも、rootkitが仕込まれたのではないことが判りましたので、一安心です^^)
0 件のコメント:
コメントを投稿