Linuxを狙うウイルスEburyへの感染を調べる方法

公開日: : 最終更新日:2014/07/23 Linux全般

 

ウィルス感染の脅威 XPだけではない

こんにちは。
今日はWindows XPのサポート終了の日ということで話題になっていますね。
マイクロソフトの企業活動という点では今回の打ち切りは妥当だと思いますが、
一方で1つの企業に依存してしまうという危うさを垣間見た出来事でした。

同時に、改めてセキュリティについて考えさせられる出来事もありました。
25000台を超えるUNIX系サーバーがマルウェアEburyに感染していたことが3月末に話題になりました。
現在でも約1万台のサーバーが放置されているというから驚きです。
関連記事:ITMediaエンタープライズ3月20日記事

サーバー用途ではウイルスソフトの導入含め対策を

筆者は以前Linuxのウイルス対策を扱った記事
「デスクトップ用として重要情報等を扱わないマシン」であれば神経質になる必要はないと書きました。
しかし、サーバー用途ではウイルス発信者とならないためにウイルスソフトの導入を検討するべきだと思います。
また、アンチウイルスに頼らず、パスワード管理やシステムの更新等のメンテナンスを怠らないことが重要です。

もちろん、心配な方はデスクトップ用途でもアンチウイルスソフトを導入しても良いと思います。
(ウイルス対策ソフトがセキュリティホールになるという意見もあります。自己責任で)

※ErubyはLinuxでメジャーなClamAVやchkrootkitまたはrkhunterでは 検出できないとのこと(2014/4/3時点)

ソース:Ebury SSH Rootkit – Frequently Asked Questions

Erubyに感染したか調べる方法

前置きが長くなりましたが、本題に入ります。
Eburyへの感染有無を調べる方法は以下の2つの方法があるようなので紹介します。

調査方法1

参考記事:welivesecurity
以下コマンドを実行します。

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

もし、”System infected”と表示されたら感染の疑いありです。
感染指定なければ”System clean”と表示されます。

調査方法2

参考記事:Ebury SSH Rootkit – Frequently Asked Questions
以下コマンドを実行してパーミッション666や600でメモリを3MB以上使ってるか?

$ ipcs -m

感染している場合は以下のような実行結果になるそうです。

 

もし感染していたら・・・

残念ながら感染の疑いがあった場合はどうしたら良いのでしょう?
調べた限りではクリーンインストールが最良(かつ最終)手段のようです。
また、SSHパスワードの変更、秘密鍵の削除と変更などが推奨されています。
まずは、上記方法で確認をしましょう。
あなたのPCがウイルスをまき散らしているかも知れません。

Sponsored Link

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • 映画と読書を愛するLinuxユーザー
    趣味はプログラミングとPC

    github:Kuro_Code25
    E-mail:kuro.code25@gmail.com

    記事更新のフォローはRSSやTwitterが便利です

    クロの仲間たち
    ※無断転載はご遠慮ください

  • にほんブログ村 IT技術ブログ Linuxへ
  • クロが作ったAndroidアプリがリリース!
    使いやすい単位変換アプリ

    使いやすい割り勘アプリ

    使いやすい調味料計算アプリ
PAGE TOP ↑