Ubuntu 10.10 sshd “SİZ BİR SPLIFF DUMANINIZ” ve saksı yaprağı ascii sanatı içerir. Bu hacklendiğim anlamına mı geliyor?

12

Ubuntu 10.10 makinesindeki sshd ikili dosyam aşağıdaki ascii resimlerini içerir:

ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists            YOU WANNA      .                              
          SMOKE        M      A SPLIFF ?              
                  dM                              
        ROLL ME   MMr   %d TIMES                  
                 4MMML                  .         
                 MMMMM.                xf         
 .               MMMMM               .MM-         
  Mh..           MMMMMM            .MMMM          
  .MMM.         .MMMMML.          MMMMMh          
   )MMMh.        MMMMMM         MMMMMMM           
    3MMMMx.      MMMMMMf      xnMMMMMM            
    '*MMMMM      MMMMMM.     nMMMMMMP             
      *MMMMMx     MMMMM    .MMMMMMM=             
       *MMMMMh    MMMMM    JMMMMMMP               
         MMMMMM   3MMMM.  dMMMMMM            .    
          MMMMMM   MMMM  .MMMMM         .nnMP     
..          *MMMMx  MMM   dMMMM     .nnMMMMM*      
 MMn...     'MMMMr 'MM   MMM    .nMMMMMMM*        
  4MMMMnn..   *MMM  MM  MMP   .dMMMMMMM           
   MMMMMMMx.  *ML   M .M*  .MMMMMM**              
      *PMMMMMMhn. *x > M  .MMMM**                 
           **MMMMhx/.h/ .=*                       
                  .3P %....                       
                nP       *MMnx

Bunun makinemin saldırıya uğradığı anlamına geldiğini varsayıyorum. Bunu onaylayan var mı? Bunun geçerli bir dosya olduğunu düşünemiyorum.

ubuntu  ssh  hacking 
Josh Knauer
kaynak
1
Kendi adına oldukça yaratıcı.

Yanıtlar:

20

Karşılaştırmak grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sumsiçin md5sum /usr/sbin/sshd. Farklı md5sums ile geldiklerinde, artık paketlenmiş sürümü kullanmıyorsunuz. Eğer aynılarsa, bu kesin bir şey anlamına gelmez, çünkü sshd ikili dosyalarınızı değiştirebilen herkes / var / lib / dpkg / info'da kaydedilen md5sum'u değiştirme ayrıcalıklarına sahiptir. Bir sonraki adım, aynı sürümdeki paketi http://packages.ubuntu.com/openssh-server'dan güvenilir bir bilgisayara indirmek ve orada md5sum'u kontrol etmek olacaktır.

Güveç
kaynak
4
Md5 toplamları gerçekten farklıdır. Saldırıya uğramıştım. İşaretçi için teşekkürler!
Josh Knauer
0

Bu arada: şifre doğrulamaya güvenmeyin. Bunun için ssh tuşlarını kullanın. Ayrıca, güvenlik duvarınızda çalıştığı bilinen IP'lere konsol erişimini kısıtlayın. Son olarak: sunucu paketlerinizi düzenli olarak güncelleyin.

Saldırıyı azaltmak için: devre dışı bırakıldıklarından emin olmak için kullanılmayan kullanıcı hesaplarını kontrol edin, dışarıdan erişilebilen bağlantı noktalarını dinleyen veya harici sunucularla iletişim kuran 'yabancı işlemler'i kontrol edin. Güvenlik duvarınızı, giden yönde de sıkın. Güvenilmeyen paketleri yüklemediğinizden emin olmak için garip uygun kaynakları kontrol edin.

İyi şanslar!

Chris
kaynak
1
ServerFault konsensüsü, ciddi bir güvenlik ihlaline sahip olduğunuzu belirledikten sonra (ve haydut bir SSH sunucusu kesinlikle tamamen tehlikeye atılmış bir sistemdir) gerçek bir azaltıcı önlemin olmamasıdır. Kesinlikle kanonik yanıtı kontrol edin serverfault.com/questions/218005/…
HBruijn
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.