Lösung 1:
Die ClamAV-Signatur für Unix.Trojan.Mirai-5607459-1 ist definitiv zu weit gefasst, daher handelt es sich wahrscheinlich um ein falsch positives Ergebnis, wie von J Rock und Cayleaf festgestellt wurde.
Beispielsweise stimmt jede Datei mit allen folgenden Eigenschaften mit der Signatur überein:
- es ist eine ELF-Datei;
- er enthält den String "watchdog" genau zweimal;
- er enthält mindestens einmal den String "/proc/self";
- er enthält mindestens einmal den String "busybox".
(Die ganze Signatur ist etwas komplizierter, aber die obigen Bedingungen reichen für einen Match aus.)
Beispielsweise können Sie eine solche Datei erstellen mit:
$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND
Jeder Busybox-Build (unter Linux) entspricht normalerweise den vier oben aufgeführten Eigenschaften. Es ist offensichtlich eine ELF-Datei und sie wird definitiv viele Male die Zeichenfolge "busybox" enthalten. Es führt "/proc/self/exe" aus, um bestimmte Applets auszuführen. Schließlich kommt „watchdog“ zweimal vor:einmal als Applet-Name und einmal innerhalb des Strings „/var/run/watchdog.pid“.
Lösung 2:
Wie J Rock denke ich, dass dies ein falsch positives Ergebnis ist. Ich hatte die gleiche Erfahrung.
Ich habe in kurzer Zeit einen Alarm von 6 verschiedenen, unterschiedlichen, geografisch getrennten Servern erhalten. 4 dieser Server existierten nur in einem privaten Netzwerk. Das Einzige, was sie gemeinsam hatten, war ein aktuelles daily.cld-Update.
Nachdem ich also erfolglos nach einigen der typischen Heuristiken dieses Trojaners gesucht hatte, startete ich eine Vagrant-Box mit meiner bekannten sauberen Baseline und ließ freshclam laufen. Dies packte
"daily.cld ist aktuell (Version:22950, Signaturen:1465879, f-level:63, builder:neo)"
Ein nachfolgendes clamav /bin/busybox hat auf den ursprünglichen Servern die gleiche "/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"-Warnung zurückgegeben.
Zu guter Letzt habe ich auch eine vagabundierende Box aus der offiziellen Ubuntu-Box erstellt und auch das gleiche "/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND" bekommen (Anmerkung:Ich musste den Speicher dieser vagabundierenden Box aufstocken von den standardmäßigen 512 MB oder clamscan schlug mit 'killed' fehl)
Vollständige Ausgabe der frischen Ubuntu 14.04.5 Vagrant Box.
[email protected]:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
[email protected]:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
[email protected]:~#
Daher glaube ich auch, dass dies wahrscheinlich ein falsch positives Ergebnis ist.
Ich werde sagen, rkhunter hat nicht gib mir die Referenz:"/usr/bin/lwp-request Warning", also hat PhysiOS Quantum vielleicht mehr als ein Problem.
BEARBEITEN:Ich habe gerade bemerkt, dass ich nie ausdrücklich gesagt habe, dass alle diese Server Ubuntu 14.04 sind. Andere Versionen können abweichen?
Lösung 3:
Dies ist mir heute auch in meinem ClamAV-Scan für /bin/busybox aufgetaucht. Ich frage mich, ob die aktualisierte Datenbank einen Fehler aufweist.
Lösung 4:
Ich habe versucht, mich über SSH anzumelden, aber mein Passwort wurde nicht akzeptiert. Die Root-Anmeldung ist deaktiviert, also ging ich zur Rettung und schaltete die Root-Anmeldung ein und konnte mich als Root anmelden. Als root versuchte ich, das Passwort des betroffenen Kontos mit dem gleichen Passwort zu ändern, mit dem ich mich zuvor versucht hatte anzumelden, passwd antwortete mit "Passwort unverändert". Dann änderte ich das Passwort in etwas anderes und konnte mich anmelden, dann änderte ich das Passwort wieder auf das ursprüngliche Passwort und konnte mich wieder anmelden.
Das klingt nach abgelaufenem Passwort. Das Setzen des Passworts (erfolgreich) durch root setzt die Ablaufuhr des Passworts zurück. Sie könnten Überprüfen Sie /var/log/secure (oder was auch immer das Ubuntu-Äquivalent ist) und finden Sie heraus, warum Ihr Passwort abgelehnt wurde.