Chkrootkit表示“正在搜索Linux / Ebury-Windigo操作ssh…可能是Linux / Ebury-Windigo操作installetd”，我应该担心吗？

我最近跑步了sudo chkrootkit，这是结果之一：

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

在对此的研究中，我发现了这个线程，因此我尝试运行那里推荐的命令，即前两个命令：

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

什么也没输出。但是此命令：

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

输出：

System infected

那我受感染了吗？我读到了这本书（尽管我之前找到了更具描述性的报告，但找不到了），那么可以吗？我已完成全新安装，但仍在检测中。那么，有什么进一步检查的方法，我应该担心吗？

操作系统信息：

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

包装信息：

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status

您遇到的问题是在Wily中，命令“ ssh -G”没有在顶部输出“ Illegal Operation”字符串，但是它仍然显示命令帮助，所以我认为您还可以。我的所有Wily安装都报告了相同的问题。这是一个检测缺陷。chkrootkit需要更新以更改其怀疑检测机制。

我还收到在Ubuntu 16.04上运行OpenSSH_7.2p2 Ubuntu-4ubuntu2.1，OpenSSL 1.0.2g-fips的“可能”侵扰结果。在网上寻找此问题，我发现了该站点：
https://www.cert-bund.de/ebury-faq
，它提供了一些要执行的测试。共享内存测试不是结论性的，但其他三个测试结果表明存在假阳性。在chkrootkit上显示可能的肯定结果之后，我创建了一个小的简单脚本来运行：

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

我还建议安装rkhunter，作为对rootkit的进一步检查。

正确的测试版本是：

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

由于-G已将ssh选项添加到ssh中，因此-e Gg需要使用它来防止误报。