ubuntu 10.10 sshd contém “VOCÊ QUER FUMAR UM SPLIFF” e arte ascii da folha do pote. Isso significa que eu fui hackeado?

12

Meu binário sshd em uma máquina do Ubuntu 10.10 contém a seguinte obra ascii:

ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists            YOU WANNA      .                              
          SMOKE        M      A SPLIFF ?              
                  dM                              
        ROLL ME   MMr   %d TIMES                  
                 4MMML                  .         
                 MMMMM.                xf         
 .               MMMMM               .MM-         
  Mh..           MMMMMM            .MMMM          
  .MMM.         .MMMMML.          MMMMMh          
   )MMMh.        MMMMMM         MMMMMMM           
    3MMMMx.      MMMMMMf      xnMMMMMM            
    '*MMMMM      MMMMMM.     nMMMMMMP             
      *MMMMMx     MMMMM    .MMMMMMM=             
       *MMMMMh    MMMMM    JMMMMMMP               
         MMMMMM   3MMMM.  dMMMMMM            .    
          MMMMMM   MMMM  .MMMMM         .nnMP     
..          *MMMMx  MMM   dMMMM     .nnMMMMM*      
 MMn...     'MMMMr 'MM   MMM    .nMMMMMMM*        
  4MMMMnn..   *MMM  MM  MMP   .dMMMMMMM           
   MMMMMMMx.  *ML   M .M*  .MMMMMM**              
      *PMMMMMMhn. *x > M  .MMMM**                 
           **MMMMhx/.h/ .=*                       
                  .3P %....                       
                nP       *MMnx                    

Estou assumindo que isso significa que minha máquina foi invadida. alguém pode confirmar isso? Eu não posso imaginar isso sendo um arquivo válido.

    
por Josh Knauer 20.01.2012 / 18:19

2 respostas

20

compare grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sums a md5sum /usr/sbin/sshd . Quando eles vêm com diferentes md5sums, você não está mais usando a versão empacotada. Se eles são iguais, isso não significa nada definitivo, já que qualquer um que é capaz de modificar seu binário sshd obviamente tem privilégios para alterar o md5sum gravado em / var / lib / dpkg / info. O próximo passo seria baixar o pacote com a mesma versão do link para um computador confiável e verificar o md5sum lá.

    
por 20.01.2012 / 18:28
0

Nesse meio tempo: não confie na autenticação de senha. Use as chaves ssh para isso. Além disso, restrinja o acesso do console ao ip do qual você trabalha no seu firewall. E por último: atualize regularmente seus pacotes de servidor.

Para atenuar o hack: verifique as contas de usuário não utilizadas para se certificar de que estão desativadas, verifique se há 'processos externos' que escutam as portas alcançáveis de fora ou que contatam servidores externos. Aperte o seu firewall, também na direção de saída. Verifique se há fontes estranhas do apt para garantir que você não instalará pacotes não confiáveis.

Boa sorte!

    
por 12.07.2015 / 14:27