Solution 1 :
La signature ClamAV pour Unix.Trojan.Mirai-5607459-1 est définitivement trop large, il s'agit donc probablement d'un faux positif, comme l'ont noté J Rock et cayleaf.
Par exemple, tout fichier possédant toutes les propriétés suivantes correspondra à la signature :
- c'est un fichier ELF ;
- il contient la chaîne "watchdog" exactement deux fois ;
- il contient la chaîne "/proc/self" au moins une fois ;
- il contient la chaîne "busybox" au moins une fois.
(L'ensemble de la signature est un peu plus compliqué, mais les conditions ci-dessus sont suffisantes pour une correspondance.)
Par exemple, vous pouvez créer un tel fichier avec :
$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND
Toute version de busybox (sous Linux) correspondra généralement aux quatre propriétés que j'ai énumérées ci-dessus. C'est évidemment un fichier ELF et il contiendra certainement la chaîne "busybox" plusieurs fois. Il exécute "/proc/self/exe" pour exécuter certaines applets. Enfin, "watchdog" apparaît deux fois :une fois en tant que nom d'applet et une fois à l'intérieur de la chaîne "/var/run/watchdog.pid".
Solution 2 :
Comme J Rock, je pense que c'est un faux positif. J'ai eu la même expérience.
J'ai reçu une alarme de 6 serveurs différents, disparates et géographiquement séparés en peu de temps. 4 de ces serveurs n'existaient que sur un réseau privé. La seule chose qu'ils avaient en commun était une mise à jour récente de daily.cld.
Ainsi, après avoir vérifié certaines des heuristiques typiques de ce cheval de Troie sans succès, j'ai démarré une boîte vagabonde avec ma ligne de base propre connue et j'ai exécuté freshclam. Cela a attrapé
"daily.cld est à jour (version :22950, sigs :1465879, f-level :63, builder :neo)"
Un clamav /bin/busybox
suivant a renvoyé la même alerte "/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND" sur les serveurs d'origine.
Enfin, pour faire bonne mesure, j'ai également créé une boîte vagabonde à partir de la boîte officielle d'Ubuntu et j'ai également obtenu le même "/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND" (Remarque, j'ai dû augmenter la mémoire de cette boîte vagabonde à partir de ses 512 Mo par défaut ou clamscan a échoué avec 'killed')
Sortie complète de la nouvelle boîte vagabonde Ubuntu 14.04.5.
[email protected]:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
[email protected]:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
[email protected]:~#
Donc, je pense aussi qu'il s'agit probablement d'un faux positif.
Je dirai que rkhunter n'a pas donnez-moi la référence :"/usr/bin/lwp-request Warning", donc peut-être que PhysiOS Quantum a plus d'un problème.
EDIT:je viens de remarquer que je n'ai jamais dit explicitement que tous ces serveurs sont Ubuntu 14.04. D'autres versions peuvent varier ?
Solution 3 :
Cela vient d'apparaître aujourd'hui pour moi aussi dans mon scan ClamAV pour /bin/busybox. Je me demande si la base de données mise à jour contient une erreur.
Solution 4 :
J'ai essayé de me connecter via SSH et il n'a pas accepté mon mot de passe. La connexion root est désactivée, je suis donc allé à la rescousse et j'ai activé la connexion root et j'ai pu me connecter en tant que root. En tant que root, j'ai essayé de changer le mot de passe du compte concerné avec le même mot de passe avec lequel j'avais essayé de me connecter auparavant, passwd a répondu par "mot de passe inchangé". J'ai ensuite changé le mot de passe pour autre chose et j'ai pu me connecter, puis j'ai remplacé le mot de passe par le mot de passe d'origine et j'ai pu à nouveau me connecter.
Cela ressemble à un mot de passe expiré. Définir le mot de passe (avec succès) par root réinitialise l'horloge d'expiration du mot de passe. Vous pourriez vérifiez /var/log/secure (ou quel que soit l'équivalent Ubuntu) et découvrez pourquoi votre mot de passe a été rejeté.