ubuntu 10.10 sshd містить «ВИ ХОЧЕТЕ ПОКРИТИ СВІТЬ» та горщик з листами ascii art. Це означає, що мене зламали?

12

Мій бінарний sshd на машині ubuntu 10.10 містить такі ілюстрації ascii:

ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists            YOU WANNA      .                              
          SMOKE        M      A SPLIFF ?              
                  dM                              
        ROLL ME   MMr   %d TIMES                  
                 4MMML                  .         
                 MMMMM.                xf         
 .               MMMMM               .MM-         
  Mh..           MMMMMM            .MMMM          
  .MMM.         .MMMMML.          MMMMMh          
   )MMMh.        MMMMMM         MMMMMMM           
    3MMMMx.      MMMMMMf      xnMMMMMM            
    '*MMMMM      MMMMMM.     nMMMMMMP             
      *MMMMMx     MMMMM    .MMMMMMM=             
       *MMMMMh    MMMMM    JMMMMMMP               
         MMMMMM   3MMMM.  dMMMMMM            .    
          MMMMMM   MMMM  .MMMMM         .nnMP     
..          *MMMMx  MMM   dMMMM     .nnMMMMM*      
 MMn...     'MMMMr 'MM   MMM    .nMMMMMMM*        
  4MMMMnn..   *MMM  MM  MMP   .dMMMMMMM           
   MMMMMMMx.  *ML   M .M*  .MMMMMM**              
      *PMMMMMMhn. *x > M  .MMMM**                 
           **MMMMhx/.h/ .=*                       
                  .3P %....                       
                nP       *MMnx

Я припускаю, що це означає, що моя машина була зламана. Хтось може це підтвердити? Я не можу уявити, що це дійсний файл.

ubuntu  ssh  hacking 
Джош Кнауер
джерело
1
Досить креативний зі свого боку.

Відповіді:

20

порівняти grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sumsз md5sum /usr/sbin/sshd. Коли вони придумують різні md5sums, ви більше не використовуєте упаковану версію. Якщо вони однакові, це не означає нічого остаточного, оскільки кожен, хто може змінити ваш бінарний файл sshd, очевидно, має привілеї змінювати md5sum, записаний у / var / lib / dpkg / info. Наступним кроком буде завантаження пакета з тією ж версією з http://packages.ubuntu.com/openssh-server на надійний комп'ютер і перевірити там md5sum.

тушкувати
джерело
4
Суми md5 дійсно різні. Мене зламали. Дякуємо за вказівник!
Джош Кнауер
0

Тим часом: не довіряйте автентифікації паролів. Для цього використовуйте клавіші ssh. Крім того, обмежте доступ консолі до IP-адрес, з яких, як відомо, працюють у брандмауері. І останнє: регулярно оновлюйте свої серверні пакети.

Щоб пом'якшити злом: перевірте невикористані облікові рахунки, щоб переконатися, що вони відключені, перевірте наявність "сторонніх процесів", які слухають порти, доступні ззовні, або які контактують із зовнішніми серверами. Затягніть брандмауер, також у вихідному напрямку. Перевірте, чи немає чужих доречних джерел, щоб переконатися, що ви не встановите ненадійні пакети.

Удачі!

Кріс
джерело
1
Консенсус ServerFault полягає в тому, що після того, як ви визначили, що у вас є серйозні порушення безпеки (а шахрайський SSH-сервер, безумовно, є повністю скомпрометованою системою), реальних пом'якшувальних заходів немає. Однозначно перевірте канонічну відповідь serverfault.com/questions/218005/…
HBruijn
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.