Linux向けウィルス Ebury に感染しているかチェックする方法

なんか、EburyというLinux向けのウィルスが流行っているらしい。厳密にどのようなウィルスかというのはよく知らないのだが、sshをアタックして、パスワードをハックして、スパム行動を起こしたりするものみたいです。（要調査）

詳しい内容は、再度調べるとして、２万５０００台のLinuxサーバーが感染しているということなので、とりあえず、自分が管理しているLinuxが感染していないかチェックする方法を調べてみました。

このサイトによると、ipcsコマンドを使って、permissionが666で、３MB以上(3000000）メモリを食ってる奴がいたら危ないぜ！とのこと。

https://www.cert-bund.de/ebury-faq

[bash mark=”6,12,13″]
# ipcs -m
—— Shared Memory Segments ——–
key shmid owner perms bytes nattch
0x00000000 0 peter 600 393216 2
0x00000000 32769 paul 600 393216 2
0x000006e0 65538 root 666 3283128 0

# ipcs -m
—— Shared Memory Segments ——–
key shmid owner perms bytes nattch
0x0000020c 32768 root 644 16384 2
0x00000469 65538 101 666 4313584 0
0x0000047a 131075 smmsp 666 3966496 0
[/bash]

もうひとつの調査方法は、以下のコマンドを発行すること。
http://news.mynavi.jp/news/2014/03/20/398/

[bash]
# ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
[/bash]

出力結果が
「System clean」ならセーフ
「System infected」ならアウト

ということらしい。

引き続き調べてみます。

対策

超簡易対策１

まだウィルスに感染していなかったなら、とりあえず、以下の方法でその場しのぎは可能かと・・

[bash]
$ sudo nano /etc/ssh/sshd_config
[/bash]

rootでのログインを無効にする

[diff]

– #PermitRootLogin yes
+ PermitRootLogin no
[/diff]

サービス再起動

[bash]
$ sudo service ssh restart

or

$ sudo service sshd restart
[/bash]

超簡易対策２

[bash]
$ sudo nano /etc/ssh/sshd_config
[/bash]

運用ポートを変更
[diff]
– #Port 22
+ Port 11122
[/diff]

サービス再起動

[bash]
$ sudo service ssh restart

or

$ sudo service sshd restart
[/bash]

鍵認証に変更

すんません、久々に設定するのでやり方忘れちゃってます。ただ今調べ中。。。
ってか、他のサイトで確認してもらうのが確実かも・・・

ログ確認

sshのログをチェックしてみるのも良いかもしれません。

[bash]
$ sudo tail /var/log/secure -n 500|less

or

$ sudo tail /var/log/auth.log -n 500|less
[/bash]

追記： アンチウィルスソフトウェア、rootkit対策は有効か？

https://www.cert-bund.de/ebury-faq
によると、LinuxにアンチウィルスソフトウェアによってEburyの被害が防げるか否かについて記載されている。残念ながら、ClamAVや chkrootkit/rkhunter は今のところEburyには対応できていないとのことである。