Il mio sistema è stato infettato da Operation Windigo in Kali Linux? [chiuso]

0

Ho fatto le mie ricerche e le prime cose che ho fatto per testare il mio sistema sono state eseguire alcuni comandi basati sulla mia ricerca. Il problema sta cercando di determinare se sono veramente infetto. Qualsiasi, la conferma sarà utile in base ai risultati dei comandi forniti.

Ebury versione 1.5 Sui sistemi basati su Linux, viene installato un file di libreria condivisa aggiuntivo 'libns2.so' e il file libkeyutils esistente viene corretto per collegarsi a questa libreria anziché a libc6. Il file "libns2.so" dannoso può essere individuato eseguendo il seguente comando, che non dovrebbe restituire alcun risultato su sistemi puliti. Sulla base di queste informazioni sopra ho eseguito il comando in basso per vedere se sono infetto non compare nulla.

# find /lib* -type f -name libns2.so /lib64/libns2.so
#

Ho eseguito questo comando che ho trovato su ubuntufourms per vedere se sono infetto.Command dice che sono infetto.

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

   System infected

Ebury ora usa socket di dominio Unix invece di segmenti di memoria condivisa per la comunicazione tra processi. Il socket dannoso può essere localizzato usando 'netstat' come segue. Ancora, questo comando non dovrebbe restituire alcun risultato su sistemi puliti.

 # -nap | grep "@/proc/udevd"
 #

Non è apparso nulla a causa delle regole di iptables che bloccano tutte le connessioni ssh in entrata.

Perché, i comandi di grep che ho trovato su ubuntufourms dicono che sono infetto quando gli altri dicono che non lo sono. La backdoor può essere inattiva se iptables blocca qualsiasi connessione ssh se c'è una backdoor?

    
posta Travis Wells 02.08.2016 - 04:23
fonte

1 risposta

1

Sarebbe bello sapere perché pensi di essere stato infettato. Di solito dovresti ricevere avvisi dal tuo ISP che il tuo sistema ha connessioni in uscita verso un server dropzone, in alternativa se esegui Snort dovrebbe essere in grado di rilevarlo. Puoi disabilitare la tua connessione Internet e disattivare iptables in modo da poter vedere i tentativi di connessione.

Se il tuo sistema è infetto a livello di root devi cancellarlo, anche tutte le chiavi SSH sono compromesse. Controlla anche tutti i sistemi nella tua rete.

    
risposta data 02.08.2016 - 10:56
fonte

Leggi altre domande sui tag