Comment puis-je retirer LINUX / EBURY d'Ubuntu 16.04?
J'ai été alerté par un virus dans mon Ubuntu 16.04 que j'ai installé il y a quelques semaines. J'ai vérifié le système avec chkrootkit pour voir s'il avait trouvé quoi que ce soit et si effectivement il avait trouvé "LINUX/EBURY".
J'ai cherché sur Google des informations sur la manière dont je pouvais éliminer ce virus, mais je n'ai rien trouvé. Est-ce que quelqu'un sait comment je peux le supprimer de mon système?
Le rootkit LINUX/EBURY est facile à repérer.
Cela crée un lien symbolique pour libkeyutils.so et ajoute le logiciel malveillant à leur version de libkeyutils.so.
J'ai trouvé le mien dans /lib/x86_64-linux-gnu/ et cela ressemble à ceci:
lrwxrwxrwx 1 root root 18 mrt 5 2015 /lib/x86_64-linux-gnu/libkeyutils.so.1 -> libkeyutils.so.1.5
-rw-r--r-- 1 root root 14256 okt 16 2014 /lib/x86_64-linux-gnu/libkeyutils.so.1.5
Cela a l'air bien, mais si vous avez plus de 2 lignes, vous êtes en difficulté. Le fichier problématique serait quelque chose comme libkeyutils.so.1.5.0 et aurait une taille d'environ 32k.
Les fichiers suivants sont affectés par ce rootkit:
audit_log_user_message
audit_log_acct_message
hosts_access
connect
__syslog_chk
write
syslog
popen
hosts_access
crypt
pam_start
Et pour finir. Ce sont les hashs SHA-1 de l'infection:
09c8af3be4327c83d4a7124a678bbc81e12a1de4 – Linux/Ebury – Version 1.3.2
2e571993e30742ee04500fbe4a40ee1b14fa64d7 – Linux/Ebury – Version 1.3.4
39ec9e03edb25f1c316822605fe4df7a7b1ad94a – Linux/Ebury – Version 1.3.2
3c5ec2ab2c34ab57cba69bb2dee70c980f26b1bf – Linux/Ebury – Version 1.3.2
471ee431030332dd636b8af24a428556ee72df37 – Linux/Ebury – Version 1.2.1
5d3ec6c11c6b5e241df1cc19aa16d50652d6fac0 – Linux/Ebury – Version 1.3.3
74aa801c89d07fa5a9692f8b41cb8dd07e77e407 – Linux/Ebury – Version 1.3.2
7adb38bf14e6bf0d5b24fa3f3c9abed78c061ad1 – Linux/Ebury – Version 1.3.2
9bb6a2157c6a3df16c8d2ad107f957153cba4236 – Linux/Ebury – Version 1.3.2
9e2af0910676ec2d92a1cad1ab89029bc036f599 – Linux/Ebury – Version 1.3.3
adfcd3e591330b8d84ab2ab1f7814d36e7b7e89f – Linux/Ebury – Version 1.3.2
bf1466936e3bd882b47210c12bf06cb63f7624c0 – Linux/Ebury – Version 1.3.2
d552cbadee27423772a37c59cb830703b757f35e – Linux/Ebury – Version 1.3.3
e14da493d70ea4dd43e772117a61f9dbcff2c41c – Linux/Ebury – Version 1.3.2
f1ada064941f77929c49c8d773cbad9c15eba322 – Linux/Ebury – Version 1.3.2
Basé sur ce lien de welivesecurity.com .
Si vous êtes infecté, il est préférable de formater, de réinstaller et de restaurer une sauvegarde sauvegardant l'infection. De plus, puisque ssh est impliqué, supprimez vos informations d'identification SSH et créez de nouvelles clés.
Vous pouvez vérifier si ssh est infecté par
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
C'est probablement un faux positif. Chkrootkit utilise une vérification obsolète de ce malware, qui a depuis évolué. Ce n'est probablement rien, mais vérifiez plutôt avec rkhunter, si vous le souhaitez. Si vous êtes toujours concerné, réinstallez votre système à partir des sauvegardes, car il aura probablement obtenu les autorisations nécessaires au niveau racine.
https://www.google.co.uk/search?q=linux+ebury&ie=UTF-8&oe=UTF-8&hl=fr&client=safari