ubuntu 10.10 sshd contiene "YOU WANNA SMOKE A SPLIFF" e foglia di pentola ascii art. Questo significa che sono stato violato?

12

Il mio binario sshd su una macchina Ubuntu 10.10 contiene le seguenti illustrazioni ASCII:

ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists            YOU WANNA      .                              
          SMOKE        M      A SPLIFF ?              
                  dM                              
        ROLL ME   MMr   %d TIMES                  
                 4MMML                  .         
                 MMMMM.                xf         
 .               MMMMM               .MM-         
  Mh..           MMMMMM            .MMMM          
  .MMM.         .MMMMML.          MMMMMh          
   )MMMh.        MMMMMM         MMMMMMM           
    3MMMMx.      MMMMMMf      xnMMMMMM            
    '*MMMMM      MMMMMM.     nMMMMMMP             
      *MMMMMx     MMMMM    .MMMMMMM=             
       *MMMMMh    MMMMM    JMMMMMMP               
         MMMMMM   3MMMM.  dMMMMMM            .    
          MMMMMM   MMMM  .MMMMM         .nnMP     
..          *MMMMx  MMM   dMMMM     .nnMMMMM*      
 MMn...     'MMMMr 'MM   MMM    .nMMMMMMM*        
  4MMMMnn..   *MMM  MM  MMP   .dMMMMMMM           
   MMMMMMMx.  *ML   M .M*  .MMMMMM**              
      *PMMMMMMhn. *x > M  .MMMM**                 
           **MMMMhx/.h/ .=*                       
                  .3P %....                       
                nP       *MMnx

Suppongo che ciò significhi che la mia macchina è stata hackerata. Qualcuno può confermare questo? Non riesco a immaginare che questo sia un file valido.

ubuntu  ssh  hacking 
Josh Knauer
fonte
1
Abbastanza creativo da parte loro.

Risposte:

20

confrontare grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sumscon md5sum /usr/sbin/sshd. Quando escono con diversi md5sums, non stai più usando la versione in pacchetto. Se sono uguali, non significa nulla di definitivo, dal momento che chiunque sia in grado di modificare il proprio binario sshd ha ovviamente i privilegi di alterare il md5sum registrato in / var / lib / dpkg / info. Il prossimo passo sarebbe scaricare il pacchetto con la stessa versione da http://packages.ubuntu.com/openssh-server su un computer fidato e controllare lì md5sum.

stufato
fonte
4
Le somme md5 sono davvero diverse. Sono stato violato. Grazie per il puntatore!
Josh Knauer,
0

Nel frattempo: non fidarti dell'autenticazione con password. Usa i tasti ssh per questo. Inoltre, limita l'accesso della console agli IP su cui sei noto a lavorare nel tuo firewall. E infine: aggiorna regolarmente i pacchetti del server.

Per mitigare l'hack: controlla gli account utente inutilizzati per assicurarti che siano disabilitati, controlla i "processi esterni" che ascoltano le porte raggiungibili dall'esterno o che contattano i server esterni. Stringere il firewall, anche in direzione estroversa. Verificare la presenza di strane fonti apt per assicurarsi di non installare pacchetti non attendibili.

In bocca al lupo!

Chris
fonte
1
Il consenso di ServerFault è che una volta determinato che si è verificata una grave violazione della sicurezza (e un server SSH canaglia è sicuramente un sistema completamente compromesso) non ci sono reali misure di mitigazione. Sicuramente controlla la risposta canonica serverfault.com/questions/218005/…
HBruijn
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.