Trädvy Permalänk
Medlem
Plats
Säter
Registrerad
Apr 2005

ssh -G = botnet

Hur säkert är det testet egentligen? Testade på min dator och jag får inte "unknown option -G" utan bara usage-texten. Tydligen är jag då "infekterad".
Testade en annan dator som bara är installerad och undanställd. Aldrig varit öppen utåt och alltid bakom stängd router. Samma svar där.
Vad gör -G?

///

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Okt 2004

Från "man ssh"
"-G Causes ssh to print its configuration after evaluating Host and Match blocks and exit."

Trädvy Permalänk
Medlem
Registrerad
Apr 2004

Hittar inte ens en referens till -G i manualen, vad för ssh klient och version används? -g Däremot används för att låta andra maskiner på nätverket ansluta genom den maskinen som kör ssh -g. Brukar själv använda det för att te.x ansluta en andra maskin via samma socks5 proxy som den första maskinen startat.

Trädvy Permalänk
Medlem
Plats
Säter
Registrerad
Apr 2005

Anledningen till frågan är att jag snubblade över den här sidan: http://www.zdnet.com/article/linux-and-botnets-its-not-linuxs...

///

Trädvy Permalänk
Forumledare
Registrerad
Okt 2002

För att ge lite kontext till tråden så syftar detta på en rapport från ESET 2014 om bl a Windigo [PDF], vilket exempelvis Ars Technica plockade upp där de också upprepade ESET:s tips (rapporten, appendix 1) om att köra det lite trubbiga "infektionstestet":

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Tanken var att en ren /usr/bin/ssh skulle klaga på att växeln -G inte existerade (unknown option -- G på ett "vanligt" system) medan en infekterad binär skulle agera annorlunda.

Det kan nämnas att ESET i rapporten hade stora varningsflaggor där de skrev att testet troligen skulle vara utdaterat lika snabbt som artikeln publicerades. Dessa varningstexter hängde som av en händelse inte med i Ars Technicas rapportering…

Ett problem med testet är att sedan rapporten skrevs så har OpenSSH fått en legitim -G-switch, liksom @Dark Defender skrev ovan:

-G Causes ssh to print its configuration after evaluating Host and Match blocks and exit.

vilket gör att "testet" ger ett falskt positiv på maskiner med nyare versioner av SSH (se exempelvis manualen direkt från OpenBSD.org eller kodtillägget direkt på en Github-spegel av kodbasen).

Det kan ytterligare nämnas att spridningen av den malware ESET sammanfattar inte har hittat några nya säkerhetshål, utan bara spridit sig genom tidigare kända (och på uppdaterade datorer: sedan länge igentäppta) hål, allmänna "brute force"-tekniker mot felkonfigurerade maskiner/maskiner med svaga lösenord och på andra sätt tillskansade inloggningsuppgifter.


Sammanfattat: sitt ner i båten, ta ett djupt andetag, och se som alltid till att ha vettiga och skyddade lösenord/nycklar för fjärrinloggning .

Nu med kortare användarnamn, men fortfarande bedövande långa inlägg.

Trädvy Permalänk
Medlem
Plats
Säter
Registrerad
Apr 2005

Tack för svaren. Jag såg också openssh-manualen då jag forskade lite i detta. Jag har ju openssh av nyaste version så jag kan förutsätta att det som sagt är ett false positive.
Jag hade på känn att testet inte var tillförlitligt men ville vara säker.
Jag har såklart kört man ssh på mina maskiner också men tänkte att om det är infekterade varianter så tjänar det inget till.

///