ubuntu 10.10 sshdには、「YOU WANNA SMOKE A SPLIFF」とポットリーフアスキーアートが含まれています。これは、私がハッキングされたことを意味しますか?

12

ubuntu 10.10マシン上の私のsshdバイナリには、次のasciiアートワークが含まれています。

ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists            YOU WANNA      .                              
          SMOKE        M      A SPLIFF ?              
                  dM                              
        ROLL ME   MMr   %d TIMES                  
                 4MMML                  .         
                 MMMMM.                xf         
 .               MMMMM               .MM-         
  Mh..           MMMMMM            .MMMM          
  .MMM.         .MMMMML.          MMMMMh          
   )MMMh.        MMMMMM         MMMMMMM           
    3MMMMx.      MMMMMMf      xnMMMMMM            
    '*MMMMM      MMMMMM.     nMMMMMMP             
      *MMMMMx     MMMMM    .MMMMMMM=             
       *MMMMMh    MMMMM    JMMMMMMP               
         MMMMMM   3MMMM.  dMMMMMM            .    
          MMMMMM   MMMM  .MMMMM         .nnMP     
..          *MMMMx  MMM   dMMMM     .nnMMMMM*      
 MMn...     'MMMMr 'MM   MMM    .nMMMMMMM*        
  4MMMMnn..   *MMM  MM  MMP   .dMMMMMMM           
   MMMMMMMx.  *ML   M .M*  .MMMMMM**              
      *PMMMMMMhn. *x > M  .MMMM**                 
           **MMMMhx/.h/ .=*                       
                  .3P %....                       
                nP       *MMnx

これは私のマシンがハッキングされたことを意味していると思います。誰でもこれを確認できますか?これが有効なファイルだとは想像できません。

ubuntu  ssh  hacking 
ジョシュ・ナウアー
ソース
1
かなりクリエイティブ。

回答:

20

と比較grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sumsしてくださいmd5sum /usr/sbin/sshd。異なるmd5sumが見つかった場合、パッケージバージョンは使用していません。sshdバイナリを変更できる人は誰でも、/ var / lib / dpkg / infoに記録されたmd5sumを変更する権限を持っているので、それらが同じであれば、それは決定的なものを意味しません。次のステップは、http://packages.ubuntu.com/openssh-serverから同じバージョンのパッケージを信頼できるコンピューターにダウンロードし、そこでmd5sumを確認することです。

シチュー
ソース
4
md5の合計は実際に異なります。ハッキングされました。ポインターをありがとう!
ジョシュナウアー
0

それまでの間は、パスワード認証を信頼しないでください。そのためにsshキーを使用します。また、ファイアウォールで作業することが知られているIPへのコンソールアクセスを制限します。最後に、サーバーパッケージを定期的に更新します。

ハッキングを緩和するには、未使用のユーザーアカウントをチェックして無効になっていることを確認し、外部から到達可能なポートをリッスンするか、外部サーバーに接続する「外部プロセス」をチェックします。ファイアウォールを、発信方向にも締めます。信頼できないパッケージをインストールしないように、奇妙なaptソースをチェックしてください。

幸運を!

クリス
ソース
1
ServerFaultのコンセンサスでは、深刻なセキュリティ侵害があると判断した場合(および不正なSSHサーバーは完全に侵害されたシステムであることに間違いはありません)、実際の緩和策はありません。確かに標準的な解答チェックserverfault.com/questions/218005/...
HBruijn
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.