Ubuntu 10.10 Sshd содержит «Ты хочешь курить SPLIFF» и горшок листьев ascii art. Значит ли это, что меня взломали?

12

Мой бинарный файл sshd на машине с Ubuntu 10.10 содержит следующую иллюстрацию ascii:

ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists            YOU WANNA      .                              
          SMOKE        M      A SPLIFF ?              
                  dM                              
        ROLL ME   MMr   %d TIMES                  
                 4MMML                  .         
                 MMMMM.                xf         
 .               MMMMM               .MM-         
  Mh..           MMMMMM            .MMMM          
  .MMM.         .MMMMML.          MMMMMh          
   )MMMh.        MMMMMM         MMMMMMM           
    3MMMMx.      MMMMMMf      xnMMMMMM            
    '*MMMMM      MMMMMM.     nMMMMMMP             
      *MMMMMx     MMMMM    .MMMMMMM=             
       *MMMMMh    MMMMM    JMMMMMMP               
         MMMMMM   3MMMM.  dMMMMMM            .    
          MMMMMM   MMMM  .MMMMM         .nnMP     
..          *MMMMx  MMM   dMMMM     .nnMMMMM*      
 MMn...     'MMMMr 'MM   MMM    .nMMMMMMM*        
  4MMMMnn..   *MMM  MM  MMP   .dMMMMMMM           
   MMMMMMMx.  *ML   M .M*  .MMMMMM**              
      *PMMMMMMhn. *x > M  .MMMM**                 
           **MMMMhx/.h/ .=*                       
                  .3P %....                       
                nP       *MMnx                    

Я предполагаю, что это означает, что моя машина была взломана. Кто-нибудь может это подтвердить? Я не могу представить, что это действительный файл.

Джош Кнауэр
источник
1
Довольно креативно с их стороны.

Ответы:

20

сравнить grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sumsс md5sum /usr/sbin/sshd. Когда они предлагают разные md5sums, вы больше не используете упакованную версию. Если они одинаковы, это не означает ничего определенного, поскольку любой, кто может изменить ваш двоичный файл sshd, очевидно, имеет привилегии изменять md5sum, записанный в / var / lib / dpkg / info. Следующим шагом будет загрузка пакета с той же версией с http://packages.ubuntu.com/openssh-server на доверенный компьютер и проверка там md5sum.

тушеное мясо
источник
4
Суммы md5 действительно разные. Я был взломан. Спасибо за указатель!
Джош Кнауэр
0

А пока: не доверяйте парольной аутентификации. Используйте ssh ключи для этого. Кроме того, ограничьте доступ консоли к IP-адресам, с которыми вы, как известно, работаете в своем брандмауэре. И последнее: регулярно обновляйте пакеты вашего сервера.

Чтобы уменьшить риск взлома: проверьте неиспользуемые учетные записи пользователей, чтобы убедиться, что они отключены, проверьте «посторонние процессы», которые прослушивают порты, доступные извне, или связываются с внешними серверами. Затяните брандмауэр, также в исходящем направлении. Проверьте наличие странных подходящих источников, чтобы убедиться, что вы не установите ненадежные пакеты.

Удачи!

Крис
источник
1
По общему мнению ServerFault, после того как вы определили, что у вас серьезное нарушение безопасности (а мошеннический SSH-сервер определенно является полностью скомпрометированной системой), реальных мер по смягчению не существует. Обязательно проверьте канонический ответ serverfault.com/questions/218005/…
HBruijn