Hice mi investigación y lo primero que hice para probar mi sistema fue ejecutar algunos comandos basados en mi investigación. El problema es tratar de determinar si estoy realmente infectado. Cualquier confirmación será útil en función de los resultados de los comandos dados.
Ebury versión 1.5 En los sistemas basados en Linux, se instala un archivo de biblioteca compartida adicional 'libns2.so' y el archivo libkeyutils existente está parcheado para vincularlo con esta biblioteca en lugar de libc6. El archivo malicioso 'libns2.so' se puede ubicar ejecutando el siguiente comando, que no debería devolver ningún resultado en sistemas limpios. Basándome en esta información anterior, he ejecutado el comando a continuación para ver si estoy infectado, no aparece nada.
# find /lib* -type f -name libns2.so /lib64/libns2.so
#
Ejecuté este comando que encontré en ubuntufourms para ver si estoy infectado. El Comando dice que estoy infectado.
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
System infected
Ebury ahora usa sockets de dominio Unix en lugar de segmentos de memoria compartida para la comunicación entre procesos. El socket malicioso puede localizarse usando 'netstat' de la siguiente manera. Nuevamente, este comando no debe devolver ningún resultado en sistemas limpios.
# -nap | grep "@/proc/udevd"
#
Probablemente no apareció nada debido a las reglas de iptables que bloquean todas las conexiones ssh entrantes.
Por qué, los comandos grep que encontré en ubuntufourms dicen que estoy infectado cuando los demás dicen que no. ¿Puede la puerta trasera estar inactiva si iptables está bloqueando cualquier conexión ssh si hay una puerta trasera?