ubuntu 10.10 sshd berisi "ANDA INGIN ASAP SPLIFF" dan seni daun pot ascii. Apakah ini berarti saya telah diretas?

12

Binary sshd saya pada mesin 10.10 ubuntu berisi ascii artwork berikut:

ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists            YOU WANNA      .                              
          SMOKE        M      A SPLIFF ?              
                  dM                              
        ROLL ME   MMr   %d TIMES                  
                 4MMML                  .         
                 MMMMM.                xf         
 .               MMMMM               .MM-         
  Mh..           MMMMMM            .MMMM          
  .MMM.         .MMMMML.          MMMMMh          
   )MMMh.        MMMMMM         MMMMMMM           
    3MMMMx.      MMMMMMf      xnMMMMMM            
    '*MMMMM      MMMMMM.     nMMMMMMP             
      *MMMMMx     MMMMM    .MMMMMMM=             
       *MMMMMh    MMMMM    JMMMMMMP               
         MMMMMM   3MMMM.  dMMMMMM            .    
          MMMMMM   MMMM  .MMMMM         .nnMP     
..          *MMMMx  MMM   dMMMM     .nnMMMMM*      
 MMn...     'MMMMr 'MM   MMM    .nMMMMMMM*        
  4MMMMnn..   *MMM  MM  MMP   .dMMMMMMM           
   MMMMMMMx.  *ML   M .M*  .MMMMMM**              
      *PMMMMMMhn. *x > M  .MMMM**                 
           **MMMMhx/.h/ .=*                       
                  .3P %....                       
                nP       *MMnx

Saya berasumsi bahwa ini berarti mesin saya telah diretas. Adakah yang bisa mengkonfirmasi ini? Saya tidak bisa membayangkan ini menjadi file yang valid.

ubuntu  ssh  hacking 
Josh Knauer
sumber
1
Cukup kreatif di pihak mereka.

Jawaban:

20

dibandingkan grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sumsdengan md5sum /usr/sbin/sshd. Ketika mereka datang dengan md5sums yang berbeda, Anda tidak lagi menggunakan versi paket. Jika mereka sama, itu tidak berarti apa-apa yang pasti, karena siapa pun yang dapat memodifikasi binary sshd Anda jelas memiliki hak istimewa untuk mengubah md5sum yang direkam di / var / lib / dpkg / info. Langkah selanjutnya adalah mengunduh paket dengan versi yang sama dari http://packages.ubuntu.com/openssh-server ke komputer tepercaya dan periksa md5sum di sana.

rebus
sumber
4
Jumlah md5 memang berbeda. Saya telah diretas. Terima kasih untuk penunjuknya!
Josh Knauer
0

Sementara itu: jangan percaya otentikasi kata sandi. Gunakan tombol ssh untuk itu. Juga, batasi akses konsol ke ip yang diketahui bekerja di firewall Anda. Dan terakhir: perbarui paket server Anda secara berkala.

Untuk mengurangi hack: periksa akun pengguna yang tidak digunakan untuk memastikan mereka dinonaktifkan, periksa 'proses asing' yang mendengarkan port yang dapat dijangkau dari luar atau yang menghubungi server eksternal. Kencangkan firewall Anda, juga dalam arah keluar. Periksa sumber apt yang aneh untuk memastikan Anda tidak akan menginstal paket yang tidak terpercaya.

Semoga berhasil!

Chris
sumber
1
Konsensus ServerFault adalah bahwa begitu Anda telah menentukan bahwa Anda memiliki pelanggaran keamanan yang serius (dan server SSH jahat jelas merupakan sistem yang sepenuhnya dikompromikan) tidak ada langkah-langkah mitigasi yang nyata. Pastikan untuk memeriksa serverfault.com/questions/218005/…
HBruijn
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.