• http://d.hatena.ne.jp/AO533/20140322/p1:Linux/BSDサーバ２万５千台超がOperation Windigo汚染
• http://www.symantec.com/connect/blogs/25000-linuxunix-operation-windigo:25,000 台もの Linux/UNIX サーバーに侵入した Operation Windigo

元になってるWe Live Securityの記事（PDF）

• http://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf

曰く：

We will provide two means of identifying the presence of the OpenSSH backdoor. A quick one that relies on the presence of a feature added by the malware to the ssh binary and a longer one which requires inspection of the shared memory segments used by the malware.

OpenSSHにバックドアを仕掛けるみたいです。sshのバイナリに機能が追加されているかどうかをチェックするのが簡単な検査方法、共有メモリを調べるのがちゃんとした検査方法。

で、

The command ssh -G has a different behavior on a system with Linux/Ebury.A clean server will print

ssh: illegal option -- G

to stderr but an infected server will only print the usage.

クリーンなsshなら「-Gオプションなんかねえよ！」と返すところを、感染しているsshでは-Gオプションの使い方が表示されるそうです。

ということでチェックするにはssh -Gの結果を見ること。

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”