Řešení 1:
Signatura ClamAV pro Unix.Trojan.Mirai-5607459-1 je rozhodně příliš široká, takže je pravděpodobně falešně pozitivní, jak poznamenali J Rock a cayleaf.
Například každý soubor, který má všechny následující vlastnosti, bude odpovídat podpisu:
- je to soubor ELF;
- obsahuje řetězec "hlídací pes" přesně dvakrát;
- obsahuje řetězec "/proc/self" alespoň jednou;
- alespoň jednou obsahuje řetězec "busybox".
(Celý podpis je trochu složitější, ale výše uvedené podmínky jsou pro shodu dostačující.)
Takový soubor můžete vytvořit například pomocí:
$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND
Jakékoli sestavení busyboxu (na Linuxu) bude obvykle odpovídat čtyřem vlastnostem, které jsem uvedl výše. Je to zjevně soubor ELF a určitě bude mnohokrát obsahovat řetězec "busybox". Spustí "/proc/self/exe" pro spuštění určitých apletů. Nakonec se "hlídací pes" vyskytuje dvakrát:jednou jako název apletu a jednou uvnitř řetězce "/var/run/watchdog.pid".
Řešení 2:
Stejně jako J Rock si myslím, že je to falešně pozitivní. Měl jsem stejnou zkušenost.
Obdržel jsem alarm od 6 různých, nesourodých, geograficky oddělených serverů v krátkém časovém rozpětí. 4 z těchto serverů existovaly pouze v privátní síti. Jediná věc, kterou měli společnou, byla nedávná aktualizace daily.cld.
Takže poté, co jsem bez úspěchu zkontroloval některé typické heuristiky tohoto trojského koně, spustil jsem tulákovou krabici se svou známou čistou základní linií a spustil freshclam. Tohle zabralo
"daily.cld je aktuální (verze:22950, sigs:1465879, f-level:63, tvůrce:neo)"
Následující clamav /bin/busybox vrátil stejné upozornění "/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND" na původních serverech.
Nakonec jsem pro pořádek také udělal tulákovou krabici z oficiální krabice Ubuntu a také jsem získal stejný "/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND" (Pozn., na této krabici jsem musel zvýšit paměť z výchozích 512 MB nebo clamscan selhal s 'killed')
Plný výstup z čerstvé krabice Ubuntu 14.04.5.
[email protected]:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
[email protected]:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
[email protected]:~#
Takže se také domnívám, že je to pravděpodobně falešně pozitivní.
Řeknu, že rkhunter ne dej mi odkaz:"/usr/bin/lwp-request Warning", takže možná má PhysiOS Quantum více než jeden problém.
EDIT:právě jsem si všiml, že jsem nikdy výslovně neřekl, že všechny tyto servery jsou Ubuntu 14.04. Jiné verze se mohou lišit?
Řešení 3:
To se mi také dnes ukázalo v mém ClamAV scanu pro /bin/busybox. Zajímalo by mě, jestli aktualizovaná databáze nemá chybu.
Řešení 4:
Zkoušel jsem se přihlásit přes SSH a neakceptoval moje heslo. Přihlašování root je zakázáno, takže jsem šel zachránit a zapnul přihlášení root a mohl se přihlásit jako root. Jako root jsem se pokusil změnit heslo postiženého účtu stejným heslem, se kterým jsem se předtím pokoušel přihlásit, passwd odpověděl "heslo nezměněno". Poté jsem změnil heslo na jiné a byl jsem schopen se přihlásit, poté jsem změnil heslo zpět na původní heslo a znovu jsem se mohl přihlásit.
Zní to jako heslo, jehož platnost vypršela. Nastavení hesla (úspěšně) uživatelem root resetuje hodiny vypršení platnosti hesla. Mohli byste zkontrolujte /var/log/secure (nebo co je ekvivalent Ubuntu) a zjistěte, proč bylo vaše heslo odmítnuto.