Ubuntu 10.10 sshd zawiera „YOU WANNA SMOKE A SPLIFF” i liść doniczkowy ascii art. Czy to oznacza, że ​​zostałem zhakowany?


12

Mój plik binarny sshd na komputerze z systemem Ubuntu 10.10 zawiera następującą grafikę ascii:

ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists            YOU WANNA      .                              
          SMOKE        M      A SPLIFF ?              
                  dM                              
        ROLL ME   MMr   %d TIMES                  
                 4MMML                  .         
                 MMMMM.                xf         
 .               MMMMM               .MM-         
  Mh..           MMMMMM            .MMMM          
  .MMM.         .MMMMML.          MMMMMh          
   )MMMh.        MMMMMM         MMMMMMM           
    3MMMMx.      MMMMMMf      xnMMMMMM            
    '*MMMMM      MMMMMM.     nMMMMMMP             
      *MMMMMx     MMMMM    .MMMMMMM=             
       *MMMMMh    MMMMM    JMMMMMMP               
         MMMMMM   3MMMM.  dMMMMMM            .    
          MMMMMM   MMMM  .MMMMM         .nnMP     
..          *MMMMx  MMM   dMMMM     .nnMMMMM*      
 MMn...     'MMMMr 'MM   MMM    .nMMMMMMM*        
  4MMMMnn..   *MMM  MM  MMP   .dMMMMMMM           
   MMMMMMMx.  *ML   M .M*  .MMMMMM**              
      *PMMMMMMhn. *x > M  .MMMM**                 
           **MMMMhx/.h/ .=*                       
                  .3P %....                       
                nP       *MMnx                    

Zakładam, że oznacza to, że moja maszyna została zhakowana. Czy ktoś może to potwierdzić? Nie wyobrażam sobie, żeby to był prawidłowy plik.


1
Z ich strony bardzo kreatywni.

Odpowiedzi:


20

porównać grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sumsdo md5sum /usr/sbin/sshd. Gdy pojawiają się różne sumy md5, nie używasz już wersji spakowanej. Jeśli są takie same, nie oznacza to nic ostatecznego, ponieważ każdy, kto jest w stanie zmodyfikować twój plik binarny sshd, oczywiście ma uprawnienia do zmiany md5sum zapisanego w / var / lib / dpkg / info. Następnym krokiem byłoby pobranie pakietu z tą samą wersją ze strony http://packages.ubuntu.com/openssh-server na zaufany komputer i sprawdzenie tam md5sum.


4
Sumy md5 są rzeczywiście różne. Zostałem zhakowany. Dzięki za wskaźnik!
Josh Knauer,

0

Tymczasem: nie ufaj uwierzytelnieniu hasłem. Użyj do tego klawiszy ssh. Ogranicz także dostęp do konsoli do adresów IP, z których możesz pracować w swojej zaporze ogniowej. I na koniec: regularnie aktualizuj pakiety serwerów.

Aby złagodzić włamanie: sprawdź nieużywane konta użytkowników, aby upewnić się, że są wyłączone, sprawdź „obce procesy”, które nasłuchują portów dostępnych z zewnątrz lub które kontaktują się z serwerami zewnętrznymi. Zamknij zaporę ogniową, również w kierunku wychodzącym. Sprawdź dziwne źródła apt, aby upewnić się, że nie zainstalujesz niezaufanych pakietów.

Powodzenia!


1
Konsensus ServerFault polega na tym, że po ustaleniu, że masz poważne naruszenie bezpieczeństwa (a nieuczciwy serwer SSH jest zdecydowanie w pełni zagrożonym systemem), nie ma żadnych rzeczywistych środków zaradczych. Zdecydowanie sprawdź odpowiedź kanoniczną serverfault.com/questions/218005/…
HBruijn
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.