XZ后门检测工具和脚本最新汇总

2024年3月，后门和脚Linux流行压缩工具xzUtils（5.6.0和5.6.1版本）曝出名为“XZ后门”的检测恶意软件，震惊了全球安全社区
。工具

该后门（如果成功进入Linux正式发行版）允许攻击者通过SSH身份验证绕过秘密访问全球运行Linux的本最关键基础设施系统并执行任意命令 ，堪称“核弹级”后门。新汇

XZ后门影响范围广泛，后门和脚包括Debian
、检测Ubuntu、工具Fedora
、本最CentOS等多个主流Linux发行版（主要为测试和实验版本）。新汇由于liblzma库被广泛应用于各类软件和系统中 ，后门和脚因此潜在受影响的建站模板检测系统数量可能达到数百万台。

以下是工具受XZ后门影响的Linux发行版本最新核查清单 ：Red Hat已确认Fedora Rawhide（Fedora Linux的当前开发版本）和FedoraLinux40beta包含存在后门的xz版本（5.6.0、5.6.1） ，本最Red Hat Enterprise Linux(RHEL)版本不受影响。新汇OpenSUSE维护者表示 ，openSUSE Tumbleweed和openSUSE MicroOS版本在3月7日至3月28日期间的更新包含了受影响的xz版本，SUSE Linux Enterprise和/或Leap不受影响。源码库Debian稳定版本不受影响 ，受影响的是Debian测试、不稳定和实验版本 ，Debian维护者“敦促这些版本的用户更新xz-utils软件包”。OffSec证实，在3月26日至3月29日期间更新安装的Kali Linux用户会受到影响 。一些Arch Linux虚拟机和容器映像以及安装介质包含受影响的XZ版本
。Ubuntu的模板下载所有发行版本均不受影响
。Linux Mint不受影响 。Gentoo Linux不受影响 。Amazon Linux客户不受影响。Alpine Linux不受影响。检测工具和脚本汇总

XZ后门曝光后，全球安全社区夜以继日分析恶意样本查找攻击源头，并不断推出检测工具和脚本 ，以下是最新汇总：

Freund检测脚本
。该脚本可以检测容易遭受XZ后门利用的SSH二进制文件，以及检查系统使用的亿华云liblzma库是否包含后门。

https://support.nagios.com/forum/viewtopic.php?p=216847

Binarly在线扫描工具。允许用户上传任何二进制文件进行分析，查看是否存在后门植入。

https://www.binarly.io/news/binarly-releases-free-detection-tool-for-xz-backdoorBitdefender扫描工具 。需要root权限才能运行（Bitdefender提供了工具源码），可以查找受感染的liblzma库以及识别后门注入的字节序列。https://www.bitdefender.com.br/consumer/support/answer/27873/

YARA规则 。ElasticSecurityLabs的香港云服务器研究人员公布了他们对XZ后门的分析报告，并提供了YARA规则 、检测规则以及osquery查询 ，供Linux管理员用来发现可疑的liblzma库和识别sshd行为异常。

https://www.elastic.co/security-labs

XZ-Hunter扫描工具
。2024年4月10日，安全公司Intezer发布了一款名为“XZ-Hunter”的工具，可以用于检测xz后门。该工具可以扫描系统中的所有文件，云计算并识别出被后门感染的文件 。

https://intezer.com/