För att ge lite kontext till tråden så syftar detta på en rapport från ESET 2014 om bl a Windigo [PDF], vilket exempelvis Ars Technica plockade upp där de också upprepade ESET:s tips (rapporten, appendix 1) om att köra det lite trubbiga "infektionstestet":
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Tanken var att en ren /usr/bin/ssh
skulle klaga på att växeln -G
inte existerade (unknown option -- G
på ett "vanligt" system) medan en infekterad binär skulle agera annorlunda.
Det kan nämnas att ESET i rapporten hade stora varningsflaggor där de skrev att testet troligen skulle vara utdaterat lika snabbt som artikeln publicerades. Dessa varningstexter hängde som av en händelse inte med i Ars Technicas rapportering…
Ett problem med testet är att sedan rapporten skrevs så har OpenSSH fått en legitim -G
-switch, liksom @Dark Defender skrev ovan:
-G Causes ssh to print its configuration after evaluating Host and Match blocks and exit.
vilket gör att "testet" ger ett falskt positiv på maskiner med nyare versioner av SSH (se exempelvis manualen direkt från OpenBSD.org eller kodtillägget direkt på en Github-spegel av kodbasen).
Det kan ytterligare nämnas att spridningen av den malware ESET sammanfattar inte har hittat några nya säkerhetshål, utan bara spridit sig genom tidigare kända (och på uppdaterade datorer: sedan länge igentäppta) hål, allmänna "brute force"-tekniker mot felkonfigurerade maskiner/maskiner med svaga lösenord och på andra sätt tillskansade inloggningsuppgifter.
Sammanfattat: sitt ner i båten, ta ett djupt andetag, och se som alltid till att ha vettiga och skyddade lösenord/nycklar för fjärrinloggning .