Ho fatto le mie ricerche e le prime cose che ho fatto per testare il mio sistema sono state eseguire alcuni comandi basati sulla mia ricerca. Il problema sta cercando di determinare se sono veramente infetto. Qualsiasi, la conferma sarà utile in base ai risultati dei comandi forniti.
Ebury versione 1.5 Sui sistemi basati su Linux, viene installato un file di libreria condivisa aggiuntivo 'libns2.so' e il file libkeyutils esistente viene corretto per collegarsi a questa libreria anziché a libc6. Il file "libns2.so" dannoso può essere individuato eseguendo il seguente comando, che non dovrebbe restituire alcun risultato su sistemi puliti. Sulla base di queste informazioni sopra ho eseguito il comando in basso per vedere se sono infetto non compare nulla.
# find /lib* -type f -name libns2.so /lib64/libns2.so
#
Ho eseguito questo comando che ho trovato su ubuntufourms per vedere se sono infetto.Command dice che sono infetto.
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
System infected
Ebury ora usa socket di dominio Unix invece di segmenti di memoria condivisa per la comunicazione tra processi. Il socket dannoso può essere localizzato usando 'netstat' come segue. Ancora, questo comando non dovrebbe restituire alcun risultato su sistemi puliti.
# -nap | grep "@/proc/udevd"
#
Non è apparso nulla a causa delle regole di iptables che bloccano tutte le connessioni ssh in entrata.
Perché, i comandi di grep che ho trovato su ubuntufourms dicono che sono infetto quando gli altri dicono che non lo sono. La backdoor può essere inattiva se iptables blocca qualsiasi connessione ssh se c'è una backdoor?