Linux向けウィルス Ebury に感染しているかチェックする方法

Linux向けウィルス Ebury に感染しているかチェックする方法

Linux向けウィルス Ebury に感染しているかチェックする方法

Linux向けウィルス Ebury に感染しているかチェックする方法 へのコメントはまだありません

なんか、EburyというLinux向けのウィルスが流行っているらしい。厳密にどのようなウィルスかというのはよく知らないのだが、sshをアタックして、パスワードをハックして、スパム行動を起こしたりするものみたいです。(要調査)

詳しい内容は、再度調べるとして、2万5000台のLinuxサーバーが感染しているということなので、とりあえず、自分が管理しているLinuxが感染していないかチェックする方法を調べてみました。

このサイトによると、ipcsコマンドを使って、permissionが666で、3MB以上(3000000)メモリを食ってる奴がいたら危ないぜ!とのこと。

https://www.cert-bund.de/ebury-faq

もうひとつの調査方法は、以下のコマンドを発行すること。
http://news.mynavi.jp/news/2014/03/20/398/

出力結果が
「System clean」ならセーフ
「System infected」ならアウト

ということらしい。

引き続き調べてみます。

対策

超簡易対策1

まだウィルスに感染していなかったなら、とりあえず、以下の方法でその場しのぎは可能かと・・

rootでのログインを無効にする

サービス再起動

超簡易対策2

運用ポートを変更

サービス再起動

鍵認証に変更

すんません、久々に設定するのでやり方忘れちゃってます。ただ今調べ中。。。
ってか、他のサイトで確認してもらうのが確実かも・・・

ログ確認

sshのログをチェックしてみるのも良いかもしれません。

追記: アンチウィルスソフトウェア、rootkit対策は有効か?

https://www.cert-bund.de/ebury-faq
によると、LinuxにアンチウィルスソフトウェアによってEburyの被害が防げるか否かについて記載されている。残念ながら、ClamAVや chkrootkit/rkhunter は今のところEburyには対応できていないとのことである。


About the author:

Tags:

Leave a comment

Back to Top