Szerintetek betörtek a gépembe?

[link]

"ssh -G":

ssh: illegal option -- G

Ha fertőzött a gép, akkor kiad egy usage info-t.

#9

Ezt ne terjeszd, mert ez a csekkolás már jó ideje nem működik, pontosabban mióta az ssh-nak VAN -G paramétere. Mert ugye a teszt arra játszik, hogy csak a fertőzött rendszereken érvényes a -G paraméter, tiszta rendszereken "illegan optiont" ír ki az ssh.

A teszt helyesen így néz ki:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

Mivel a chrootkit kicsit le van maradva és még mindig a régi típusú ellenőrzést használja, ezért jelez lehetséges Linux/Ebury fertőzésre. Itt van a bugjelentés: [link]

Nálam (Debian 10) az Ebury ellenőrzés így néz ki:

## SSJD Operation Windigo (Linux/Ebury)

if [ "${QUIET}" != "t" ]; then

printn "Searching for Linux/Ebury - Operation Windigo ssh... "; fi

if $ssh -V 2>&1 | egrep "OpenSSH_[1-5]\.|OpenSSH_6\.[-0-7]" >/dev/null; then

if $ssh -G 2>&1 | grep -e illegal -e unknow > /dev/null; then

if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi

else

echo "Possible Linux/Ebury - Operation Windigo installed"

fi

else

if [ "${QUIET}" != "t" ]; then echo "not tested"; fi

fi

Ezen látszik, hogy már verziószámra is ellenőriz, mivel ugye verziószámtól függően vagy van -G paraméter gyárilag, vagy nincs.