Linuxを狙うウイルスEburyへの感染を調べる方法

LINEで送る
Pocket

ウィルス感染の脅威 XPだけではない

こんにちは。
今日はWindows XPのサポート終了の日ということで話題になっていますね。
マイクロソフトの企業活動という点では今回の打ち切りは妥当だと思いますが、
一方で1つの企業に依存してしまうという危うさを垣間見た出来事でした。

同時に、改めてセキュリティについて考えさせられる出来事もありました。
25000台を超えるUNIX系サーバーがマルウェアEburyに感染していたことが3月末に話題になりました。
現在でも約1万台のサーバーが放置されているというから驚きです。
関連記事:ITMediaエンタープライズ3月20日記事

サーバー用途ではウイルスソフトの導入含め対策を

筆者は以前Linuxのウイルス対策を扱った記事
「デスクトップ用として重要情報等を扱わないマシン」であれば神経質になる必要はないと書きました。
しかし、サーバー用途ではウイルス発信者とならないためにウイルスソフトの導入を検討するべきだと思います。
また、アンチウイルスに頼らず、パスワード管理やシステムの更新等のメンテナンスを怠らないことが重要です。

もちろん、心配な方はデスクトップ用途でもアンチウイルスソフトを導入しても良いと思います。
(ウイルス対策ソフトがセキュリティホールになるという意見もあります。自己責任で)

※ErubyはLinuxでメジャーなClamAVやchkrootkitまたはrkhunterでは 検出できないとのこと(2014/4/3時点)

ソース:Ebury SSH Rootkit – Frequently Asked Questions

Erubyに感染したか調べる方法

前置きが長くなりましたが、本題に入ります。
Eburyへの感染有無を調べる方法は以下の2つの方法があるようなので紹介します。

調査方法1

参考記事:welivesecurity
以下コマンドを実行します。

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

もし、”System infected”と表示されたら感染の疑いありです。
感染指定なければ”System clean”と表示されます。

調査方法2

参考記事:Ebury SSH Rootkit – Frequently Asked Questions
以下コマンドを実行してパーミッション666や600でメモリを3MB以上使ってるか?

$ ipcs -m

感染している場合は以下のような実行結果になるそうです。

# ipcs -m
------ Shared Memory Segments --------
key        shmid      owner     perms      bytes      nattch
0x00000000     0      peter     644        393216     2
0x00000000 32769      paul      644        393216     2
0x000006e0 65538      root      600        3283128    0

 

もし感染していたら・・・

残念ながら感染の疑いがあった場合はどうしたら良いのでしょう?
調べた限りではクリーンインストールが最良(かつ最終)手段のようです。
また、SSHパスワードの変更、秘密鍵の削除と変更などが推奨されています。
まずは、上記方法で確認をしましょう。
あなたのPCがウイルスをまき散らしているかも知れません。

Sponsored Link


LINEで送る
Pocket

コメントする

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です