Início / server / Perguntas / 1132808
Accepted
Rougher
Asked: 2023-06-07 21:12:11 +0800 CST

ClamAV detectou malware Kaiji na instância do Ubuntu

  • 772

Hoje, o clamAV escaneou minhas instâncias da AWS e detectou 24 arquivos infectados em cada uma. Parece falso positivo devido a vários motivos:

  1. Todos esses arquivos são criados em outubro de 2022 (por que só foram detectados agora?)
  2. A porta SSH para cada instância é protegida por MFA + senha + VPN.

Então, minha pergunta, quais devem ser meus próximos passos neste caso? Devo remover esses arquivos, pelo que entendi, podem ser arquivos do sistema que outros aplicativos podem usar.

2023-06-07T13:03:41.658+03:00   /snap/amazon-ssm-agent/6563/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:42.909+03:00   /snap/amazon-ssm-agent/6563/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:44.659+03:00   /snap/amazon-ssm-agent/6563/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:45.660+03:00   /snap/amazon-ssm-agent/6563/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:46.910+03:00   /snap/amazon-ssm-agent/6563/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:47.910+03:00   /snap/amazon-ssm-agent/6563/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:49.411+03:00   /snap/amazon-ssm-agent/6312/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:50.662+03:00   /snap/amazon-ssm-agent/6312/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:51.912+03:00   /snap/amazon-ssm-agent/6312/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:52.912+03:00   /snap/amazon-ssm-agent/6312/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:53.913+03:00   /snap/amazon-ssm-agent/6312/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:55.413+03:00   /snap/amazon-ssm-agent/6312/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:56.695+03:00   /snap/lxd/24061/bin/lxc: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:57.414+03:00   /snap/lxd/24061/bin/lxc-to-lxd: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:58.164+03:00   /snap/lxd/24061/bin/lxd-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:58.915+03:00   /snap/lxd/24061/bin/lxd-benchmark: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:01.666+03:00   /snap/lxd/24061/bin/lxd-migrate: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:06.073+03:00   /snap/lxd/24061/bin/snap-query: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:12.420+03:00   /snap/lxd/23991/bin/lxc: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:13.170+03:00   /snap/lxd/23991/bin/lxc-to-lxd: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:13.920+03:00   /snap/lxd/23991/bin/lxd-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:14.671+03:00   /snap/lxd/23991/bin/lxd-benchmark: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:16.171+03:00   /snap/lxd/23991/bin/lxd-migrate: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:21.073+03:00   /snap/lxd/23991/bin/snap-query: Unix.Malware.Kaiji-10003916-0 FOUND
ubuntu

4 respostas

  1. Best Answer

    Enviei um relatório falso positivo para ClamAV em https://www.clamav.net/reports/fp

    Esta foi a descrição que enviei:

    The attached "helper" file was retrieved by running:
docker cp "$(docker container create gcr.io/paketo-buildpacks/ca-certificates:3.6.2@sha256:87b389fa631c6d6bbdaef30b5b963b300a4cba87c0ab8e9d00e3e5c2496117d3 -d)":/cnb/buildpacks/paketo-buildpacks_ca-certificates/3.6.2/bin/helper .

clamscan run on that file outputs:
helper: Unix.Malware.Kaiji-10003916-0 FOUND

That docker image is from https://github.com/paketo-buildpacks/ca-certificates/releases/tag/v3.6.2

Unix.Malware.Kaiji-10003916-0 is being detected in many files - this is just one sample. This false positive, new today, was also raised on stackoverflow at https://serverfault.com/questions/1132808/clamav-detected-kaiji-malware-on-ubuntu-instance

    Também executei o helperarquivo através do virustotal: https://www.virustotal.com/gui/file-analysis/NmUzNWM2MGVhZWVmNmU5ODAxYTExOWVhMTNkNGM1MGM6MTY4NjE0NzAzNg==

    Nenhum scanner além do clamav detecta um vírus neste arquivo.

    Uma atualização fora de banda do banco de dados diário de assinaturas acaba de ser publicada removendo esta assinatura: lists.clamav.net/pipermail/clamav-virusdb/2023-June/008315.html

    Com isso, esse problema de falso positivo está resolvido.

    O projeto ClamAV também revisará seus processos para evitar que esses falsos positivos ocorram no futuro.

    Eu também relatei esse problema ao ClamAV em sua discórdia .

    • 12

  2. ClamAV para mim esta manhã (7 de junho de 2023) está relatando Unix.Malware.Kaiji-10003916 encontrado em vários arquivos cloudwatch-agent, ssm-agent, gitlab e docker no Amazon Linux. Alarmes falsos ou tenho muita limpeza para fazer!

    • 3

  3. Todas as postagens "eu também" sugerem que este é um falso positivo, no entanto, ainda valeria a pena verificar suas somas de verificação.

    dpkg mantém um registro dos hashes md5 de todos os arquivos que instalou em /var/lib/dpkg/info/.md5sums

    Para encontrar o pacote que possui um arquivo, use dpkg -S ou procure por sua soma de verificação acima.

    O RPM também mantém uma lista de hashes de arquivo (consulte as opções de verificação).

    • 2

  4. Eu também estou vendo isso. Recebi alguns alertas de webshell PHP da Sophos, então estava investigando e encontrei isso com clamav. Não tenho certeza se tem algo a ver com o alerta da Sophos. Algumas de nossas instâncias costumavam executar o docker e meu antecessor o deixou totalmente aberto e eu limpei tudo isso há muito tempo, mas depois de pesquisar kaiji no Google, encontrei algo dizendo que era um botnet que explorava instalações inseguras do docker. Eu executei um dos arquivos através do Virus Total e apenas o ClamAV parece pensar que é ruim. Não sei dizer se é um falso positivo ou algo novo que só o molusco está captando agora

    • 1

relate perguntas