- http://d.hatena.ne.jp/AO533/20140322/p1:Linux/BSDサーバ2万5千台超がOperation Windigo汚染
- http://www.symantec.com/connect/blogs/25000-linuxunix-operation-windigo:25,000 台もの Linux/UNIX サーバーに侵入した Operation Windigo
元になってるWe Live Securityの記事(PDF)
曰く:
We will provide two means of identifying the presence of the OpenSSH backdoor. A quick one that relies on the presence of a feature added by the malware to the ssh binary and a longer one which requires inspection of the shared memory segments used by the malware.
OpenSSHにバックドアを仕掛けるみたいです。sshのバイナリに機能が追加されているかどうかをチェックするのが簡単な検査方法、共有メモリを調べるのがちゃんとした検査方法。
で、
The command ssh -G has a different behavior on a system with Linux/Ebury.A clean server will print
ssh: illegal option -- Gto stderr but an infected server will only print the usage.
クリーンなsshなら「-Gオプションなんかねえよ!」と返すところを、感染しているsshでは-Gオプションの使い方が表示されるそうです。
ということでチェックするにはssh -Gの結果を見ること。
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”