読者です 読者をやめる 読者になる 読者になる

トリコロールな猫/セキュリティ

セキュリティ情報の備忘録的まとめ。

Operation Windigoというウイルスが猛威を奮っているらしい

元になってるWe Live Securityの記事(PDF)

曰く:

We will provide two means of identifying the presence of the OpenSSH backdoor. A quick one that relies on the presence of a feature added by the malware to the ssh binary and a longer one which requires inspection of the shared memory segments used by the malware.

OpenSSHにバックドアを仕掛けるみたいです。sshのバイナリに機能が追加されているかどうかをチェックするのが簡単な検査方法、共有メモリを調べるのがちゃんとした検査方法。

で、

The command ssh -G has a different behavior on a system with Linux/Ebury.A clean server will print

ssh: illegal option -- G

to stderr but an infected server will only print the usage.

クリーンなsshなら「-Gオプションなんかねえよ!」と返すところを、感染しているsshでは-Gオプションの使い方が表示されるそうです。

ということでチェックするにはssh -Gの結果を見ること。

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”