Meu linux está infectado? '-' [RESOLVIDO]

princknoby
(usa Arch Linux)

Enviado em 27/11/2018 - 09:51h

Olá a todos, encontrei uma matéria aqui na internet de 4 anos atrás falando sobre servidores linux infectados rsrs
O link é esse: https://canaltech.com.br/seguranca/Servidores-Linux-sao-infectados-com-malware-que-envia-spam-e-redi...

Ao final do post é deixado o seguinte comando para o usuário verificar se seu computador está infectado: ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Rodei ele aqui no terminal e recebi a mensagem "System infected".

E ai, o que me dizem? Meu sistema está infectado?! Devo me preocupar com algo?

Obrigado

danniel-lara
(usa Fedora)

Enviado em 27/11/2018 - 10:26h

https://www.welivesecurity.com/br/2017/10/30/windigo-ainda-esta-vivo-uma-atualizacao-do-linuxebury/

Mauriciodez
(usa Debian)

Enviado em 27/11/2018 - 13:28h

Por curiosidade minha ... poderia postar a saída ???

ssh -G 2>&1 

------------------------------------------| Linux User #621728 |-----------------------------------------

" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

------------------------------------------| Linux User #621728 |-----------------------------------------

princknoby
(usa Arch Linux)

Enviado em 27/11/2018 - 13:45h

Olá, obrigado pela resposta.

A saída que obtive desse comando foi a seguinte:

usage: ssh [-46AaCfGgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
[-D [bind_address:]port] [-E log_file] [-e escape_char]
[-F configfile] [-I pkcs11] [-i identity_file]
[-J [user@]host[:port]] [-L address] [-l login_name] [-m mac_spec]
[-O ctl_cmd] [-o option] [-p port] [-Q query_option] [-R address]
[-S ctl_path] [-W host:port] [-w local_tun[:remote_tun]]
[user@]hostname [command]

princknoby
(usa Arch Linux)

Enviado em 27/11/2018 - 13:46h

Muito interessante a matéria, infelizmente não consegui entender os procedimentos que falaram pra checar se está infectado.
Sou novato ainda no linux.

Obrigado :D

princknoby
(usa Arch Linux)

Enviado em 27/11/2018 - 13:48h

Olá, muito obrigado pela resposta.

Sobre a primeira pergunta, poderia me explicar um pouco mais? Sou novato no linux, estou usando a alguns dias apenas, como eu poderia remover o OpenSSH? Isso me causaria algum problema? Ou ele é inútil mesmo? kkk

Segunda pergunta: '-' Sim estou usando o OpenDNS, seria isso?

Sobre os comandos, rodei os dois, não recebi nenhuma mensagem no terminal.

Obrigado.

EDIT: Rodei os comandos como root
O comando: find /etc/ssh/ -mtime -200 me retornou a seguinte mensagem: /etc/ssh/
Já o comando: cat /etc/ssh/sshd_config | grep -i yes me retornou a seguinte mensagem: cat: /etc/ssh/sshd_config: Arquivo ou diretório inexistente.

EDIT²: Removi o OpenDNS e rodei o comando de novo, continuei recebendo a mensagem "System infected".

Henrique-RJ
(usa Outra)

Enviado em 27/11/2018 - 15:56h

O meu também deu como infectado

Uso o antiX que é mantido por ativista comunista declarado.

" O que habita no esconderijo do Altíssimo e descansa à sombra do Onipotente diz ao Senhor: Meu refúgio e meu baluarte, Deus meu, em quem confio." Salmos 91:1-2

StanislausK
(usa FreeBSD)

Enviado em 27/11/2018 - 15:57h

Ola,

eu nunca usei o SSH, mas como voce é novato, segue algumas dicas:

- SSH: "protocolo de rede criptográfico para operação de serviços de rede de forma segura sobre uma rede insegura. O melhor exemplo de aplicação conhecido é para login remoto de usuários a sistemas de computadores."
LInk: https://pt.wikipedia.org/wiki/Secure_Shell

- ssh -G: causes ssh to print its configuration after evaluating Host and Match blocks and exit.
Fonte: man ssh

- No terminal, para verificar se o SSH está habilitado (sem usar o $):
$ systemctl status ssh.service

- comando grep: realiza buscas em textos.
- comando echo: exibe um conteúdo na tela.
- comando1 && comando2: executa o comando 2 apenas se o comando 1 foi bem sucedido.
- comando1 || comando2: executa o comando 2 apenas se o comando 1 não foi bem sucedido.
- canalização "|": envia a saida de um comando para a entrada de outro comando.

Então, o que significa:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

O comando grep efetua a busca dos termos "illegal" e "unknown" no que existe em "ssh -G". Se encontrar esses dois termos, irá aparecer a mensagem "System clean". Se não encontrar esses dois termos, aparecerá "System infected".

O que voce acha?!?

princknoby
(usa Arch Linux)

Enviado em 27/11/2018 - 16:50h

Hmmm... Muito obrigado pela explicação, consegui entender um pouquinho.

princknoby
(usa Arch Linux)

Enviado em 27/11/2018 - 16:51h

Olá, muito obrigado pela resposta, rodei o comando e retornou "System Clean".
Está tudo certo então com o meu sistema?

Obrigado

Mauriciodez
(usa Debian)

Enviado em 27/11/2018 - 16:54h

Uai jovem .. no 1º post vc disse que deu infectado, agora deu limpo ?!?!?!? entendi essa não.

EDIT: A tá ... vi agora ... o teste foi alterado !!! foi mal ... porém fiquei perdido na diferença entre os dois testes... qual é o válido ???

------------------------------------------| Linux User #621728 |-----------------------------------------

" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

------------------------------------------| Linux User #621728 |-----------------------------------------