¿Mi sistema está infectado con la Operación Windigo en Kali Linux? [cerrado]

0

Hice mi investigación y lo primero que hice para probar mi sistema fue ejecutar algunos comandos basados en mi investigación. El problema es tratar de determinar si estoy realmente infectado. Cualquier confirmación será útil en función de los resultados de los comandos dados.

Ebury versión 1.5 En los sistemas basados en Linux, se instala un archivo de biblioteca compartida adicional 'libns2.so' y el archivo libkeyutils existente está parcheado para vincularlo con esta biblioteca en lugar de libc6. El archivo malicioso 'libns2.so' se puede ubicar ejecutando el siguiente comando, que no debería devolver ningún resultado en sistemas limpios. Basándome en esta información anterior, he ejecutado el comando a continuación para ver si estoy infectado, no aparece nada.

# find /lib* -type f -name libns2.so /lib64/libns2.so
#

Ejecuté este comando que encontré en ubuntufourms para ver si estoy infectado. El Comando dice que estoy infectado.

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

   System infected

Ebury ahora usa sockets de dominio Unix en lugar de segmentos de memoria compartida para la comunicación entre procesos. El socket malicioso puede localizarse usando 'netstat' de la siguiente manera. Nuevamente, este comando no debe devolver ningún resultado en sistemas limpios.

 # -nap | grep "@/proc/udevd"
 #

Probablemente no apareció nada debido a las reglas de iptables que bloquean todas las conexiones ssh entrantes.

Por qué, los comandos grep que encontré en ubuntufourms dicen que estoy infectado cuando los demás dicen que no. ¿Puede la puerta trasera estar inactiva si iptables está bloqueando cualquier conexión ssh si hay una puerta trasera?

    
pregunta Travis Wells 02.08.2016 - 04:23
fuente

1 respuesta

1

Sería bueno saber por qué asumes que estás infectado. Por lo general, debería recibir advertencias de su ISP de que su sistema tiene conexiones salientes a un servidor de Dropzone, de manera alternativa, si ejecuta Snort, debería poder detectarlo. Puedes deshabilitar tu conexión a Internet y desactivar iptables para que puedas ver los intentos de conexión.

Si su sistema está infectado en el nivel raíz, tiene que borrarlo, también todas las claves SSH están comprometidas. También verifique todos los sistemas en su red.

    
respondido por el AdHominem 02.08.2016 - 10:56
fuente

Lea otras preguntas en las etiquetas