Mój plik binarny sshd na komputerze z systemem Ubuntu 10.10 zawiera następującą grafikę ascii:
ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists YOU WANNA .
SMOKE M A SPLIFF ?
dM
ROLL ME MMr %d TIMES
4MMML .
MMMMM. xf
. MMMMM .MM-
Mh.. MMMMMM .MMMM
.MMM. .MMMMML. MMMMMh
)MMMh. MMMMMM MMMMMMM
3MMMMx. MMMMMMf xnMMMMMM
'*MMMMM MMMMMM. nMMMMMMP
*MMMMMx MMMMM .MMMMMMM=
*MMMMMh MMMMM JMMMMMMP
MMMMMM 3MMMM. dMMMMMM .
MMMMMM MMMM .MMMMM .nnMP
.. *MMMMx MMM dMMMM .nnMMMMM*
MMn... 'MMMMr 'MM MMM .nMMMMMMM*
4MMMMnn.. *MMM MM MMP .dMMMMMMM
MMMMMMMx. *ML M .M* .MMMMMM**
*PMMMMMMhn. *x > M .MMMM**
**MMMMhx/.h/ .=*
.3P %....
nP *MMnx
Zakładam, że oznacza to, że moja maszyna została zhakowana. Czy ktoś może to potwierdzić? Nie wyobrażam sobie, żeby to był prawidłowy plik.
Odpowiedzi:
porównać
grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sumsdomd5sum /usr/sbin/sshd. Gdy pojawiają się różne sumy md5, nie używasz już wersji spakowanej. Jeśli są takie same, nie oznacza to nic ostatecznego, ponieważ każdy, kto jest w stanie zmodyfikować twój plik binarny sshd, oczywiście ma uprawnienia do zmiany md5sum zapisanego w / var / lib / dpkg / info. Następnym krokiem byłoby pobranie pakietu z tą samą wersją ze strony http://packages.ubuntu.com/openssh-server na zaufany komputer i sprawdzenie tam md5sum.źródło
Tymczasem: nie ufaj uwierzytelnieniu hasłem. Użyj do tego klawiszy ssh. Ogranicz także dostęp do konsoli do adresów IP, z których możesz pracować w swojej zaporze ogniowej. I na koniec: regularnie aktualizuj pakiety serwerów.
Aby złagodzić włamanie: sprawdź nieużywane konta użytkowników, aby upewnić się, że są wyłączone, sprawdź „obce procesy”, które nasłuchują portów dostępnych z zewnątrz lub które kontaktują się z serwerami zewnętrznymi. Zamknij zaporę ogniową, również w kierunku wychodzącym. Sprawdź dziwne źródła apt, aby upewnić się, że nie zainstalujesz niezaufanych pakietów.
Powodzenia!
źródło