ESET Windigo: nálad mi a kimenete az "ssh -G"-nek?

Linux-security

Minap olvastam egy cikket az itcafe.hu-n:
Linuxos szervere van? Azonnal ellenőrizze!
Meg is néztem, hogy mi ez a windigo:
Operation Windigo pdf

Egyébként Windows-os malware-ről is van benne szó.

De lapozzunk az 58. oldalra, ahol is:
A.1.1.1. Linux/Ebury
Szerintük az "ssh -G"-nek ez a normális kimenete linux-on: 

ssh: illegal option -- G

Ha fertőzött a gép, akkor kiad egy usage info-t.
Erre írtak is egy kis one liner-t, hogy mutassa ez egyszeri adminnak, hogy fertőzött-e, vagy sem: 

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo
“System clean” || echo “System infected”

Eszerint ha ismeri az ssh-d a G kapcsolót, akkor fertőzött a gép.
Az alap openbsd openssh tényleg nem ismer G kapcsolót.
Az x509-es patch (Roumen Petrov) viszont hozzáad egy G opciót az engine support-tal.
Így hát nálam azt írja, hogy: 

option requires an argument -- G

És ad egy usage info-t. A G a man szerint egy opció az engine config file-hoz.
A one liner így hát azt írja, hogy fertőzött a gép.

Kíváncsi vagyok, hogy hány embernél írja ki az ESET one liner, hogy fertőzött? Nem tudom, hogy az x509 patch mennyire elterjedt a különféle disztrókban?
Egyébként instrukcióik alapján teljesen újra kell húzni a fertőzött gépet...

Üdv:
Dw.

  • 5184 megtekintés

( oykawa | 2014. 03. 24., h – 13:38 )

Debian szerver -
Rasbian Rpi -
TomatoUSB router -

Akkor még ezt is megúsztam!

Oykawa

( arwin v | 2014. 03. 24., h – 16:33 )

ssh: illegal option -- G
usage: ssh ...

Ha rajta van az openssh-n az x509 patch, akkor az ESET egysorosa hamisan jelez fertőzöttséget.
Nézd meg a további utasításokat is. Pl.: 

ipcs -m -p

Egy 3Mb körüli shared memory segmentet kell látni, aminek a PID-je az sshd-hoz tartozik.

Üdv:
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( hokuszpk | 2014. 03. 24., h – 20:17 )

miutan 3 gepen megneztem, es jott az "usage", kihuztam az egyik gepbol a halozati kabelt, elovettem az elso kezem ugyebe kerulo telepito dvd-t, es feltelepitettem.
ezek alapjan ugytunik, mar a centos 5.6 telepitom is fertozott.

Ha rajta van az openssh-n az x509 patch, akkor az ESET egysorosa hamisan jelez fertőzöttséget.
Nézd meg a további utasításokat is. Pl.: 

ipcs -m -p

Egy 3Mb körüli shared memory segmentet kell látni, aminek a PID-je az sshd-hoz tartozik.

Üdv:
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

nemtunik ugy, hogy van.

~]# ps ax|grep sshd
12428 ? Ss 2:16 /usr/sbin/sshd
26564 ? Ss 0:00 sshd: xxx [priv]
26566 ? S 0:00 sshd: xxx@pts/0
27044 pts/0 S+ 0:00 grep sshd
~]# ipcs -m -p

------ Shared Memory Creator/Last-op --------
shmid owner cpid lpid
3571712 root 2311 2311
4259841 root 2507 2507
17072130 root 5567 5567
4227075 root 2479 2479
5210116 root 4441 24144

( gergelykiss | 2014. 03. 24., h – 21:34 )

CentOS 6.5-ön (otthoni gépem):

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
System clean
$ ssh -G
ssh: illegal option -- G

Akkor ezek szerint nem vagyok fertőzött? Nyugtassatok meg! :)

Megnyugtatunk.

De azoknak sem kell (feltétlenül) rohanni újratelepíteni a gépüket, akiknek azzal kezdődik a kimenet, hogy: 

option requires an argument -- G

Majd utána jön egy usage info. Csak az ESET egysorosa Infected-re hozza ki a gépüket.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."