情報
最近私がアクセスしているLinuxサーバの一つは、改造されたsshバイナリを使ってパスワードとsshキーを盗むことに危殆化していました。攻撃者がSSHアクセスを有効にしている私のOSXラップトップを危険にさらしていたかどうかこれは私に質問を導きました。 sophosウイルススキャンは何も起こらなかった、そして私は持っていなかった rkhunter 攻撃の前にインストールされているので、システムバイナリのハッシュを比較することはできません。しかし、OSXはそれぞれのメジャーリリースでは比較的標準的なものなので、md5ハッシュについては悪魔に尋ねました md5 /usr/bin/ssh そして md5 /usr/sbin/sshd 基本的なこととして、まず自分のマシンに何か違ったことがないか確認してください。いくつかの電子メールを後で私は次のデータを見つけました:
Version (Arch) [N] MD5 (/usr/bin/ssh) MD5 (/usr/sbin/sshd)
OSX 10.5.8 (PPC) [3] 1e9fd483eef23464ec61c815f7984d61 9d32a36294565368728c18de466e69f1
OSX 10.5.8 (intel) [5] 1e9fd483eef23464ec61c815f7984d61 9d32a36294565368728c18de466e69f1
OSX 10.6.x (intel) [7] 591fbe723011c17b6ce41c537353b059 e781fad4fc86cf652f6df22106e0bf0e
OSX 10.6.x (intel) [4] 58be068ad5e575c303ec348a1c71d48b 33dafd419194b04a558c8404b484f650
Mine 10.6.6 (intel) df344cc00a294c91230c65e8b7332a79 b5094ccf4cd074aaf573d4f5df75906a
NはそのMD5を搭載したマシンの数、最後の行は私のラップトップです。このサンプルは、数年に渡って異なる種類のApples、およびさまざまなバージョンの10.6.xが含まれている比較的異種のものです。私のシステムではハッシュが異なるため、これらのバイナリが危険にさらされているのではないかと心配になりました。それで私はその週の私のバックアップが良いことを確認し、そして私のシステムをフォーマットしそしてOSXを再インストールすることに飛び込んだ。
製造元のDVDからOSXを再インストールした後、MD5ハッシュがsshでもsshdでも変わらないことがわかりました。
ゴール
私のシステムに悪意のあるソフトウェアがないことを確認してください。このOSXの基本インストール(他のソフトウェアはインストールされていない)が危険にさらされているのではないかと心配する必要がありますか?私はまた私のシステムを10.6.6にアップデートしました、そして同様に変化を見つけませんでした。
その他の情報
これが有用な情報かどうかはわかりませんが、私のラップトップは2010年11月に購入したi7 15インチMacBook Proです。 system_profiler:
System Software Overview:
System Version: Mac OS X 10.6.6 (10J567)
Kernel Version: Darwin 10.6.0
64-bit Kernel and Extensions: No
Time since boot: 1:37
Hardware:
Hardware Overview:
Model Name: MacBook
Model Identifier: MacBook6,2
Processor Name: Intel Core i7
Processor Speed: 2.66 GHz
Number Of Processors: 1
Total Number Of Cores: 2
L2 Cache (per core): 256 KB
L3 Cache: 4 MB
Memory: 4 GB
Processor Interconnect Speed: 4.8 GT/s
Boot ROM Version: MBP61.0057.B0C
SMC Version (system): 1.58f16
Sudden Motion Sensor:
State: Enabled
ラップトップ上で、私は見つけます:
$ codesign -vvv /usr/bin/ssh /usr/bin/ssh: valid on disk /usr/bin/ssh: satisfies its Designated Requirement $ codesign -vvv /usr/sbin/sshd /usr/sbin/sshd: valid on disk /usr/sbin/sshd: satisfies its Designated Requirement $ ls -la /usr/bin/ssh -rwxr-xr-x 1 root wheel 1001520 Feb 11 2010 /usr/bin/ssh $ ls -la /usr/sbin/sshd -rwxr-xr-x 1 root wheel 1304800 Feb 11 2010 /usr/sbin/sshd $ ls -la /sbin/md5 -r-xr-xr-x 1 root wheel 65232 May 18 2009 /sbin/md5
更新
これまでのところ、私はこの質問についての答えを得ていませんが、私が比較できるハッシュの数を増やすことによって手助けができれば、それは素晴らしいことです。ハッシュとバージョン番号を取得するには、osxで次のコマンドを実行してください。
md5 /usr/bin/ssh md5 /usr/sbin/sshd ssh -V sw_vers
codesign -d -vv 両方で、それは(とりわけ)戻ります Authority=Software Signing Authority=Apple Code Signing Certification Authority Authority=Apple Root CA それから私はすべてが大丈夫であるべきであることを推測する(またはそうでなければAppleのルートCAが妥協されなければならないだろう)、それでもあなたのmd5合計が失敗するのは変わっている…
md5 /sbin/md5 それは戻ってきますか 94dd237389823d38fc4183113099fb5a?
codesign -d -vv ラップトップと別の10.6.6マシンの両方で、各行に同じ値が返されます。また MD5 (/sbin/md5) = 94dd237389823d38fc4183113099fb5a 両方のマシンで。最後に、 shasum 両方のマシンで同じです。
codesign -vvv両方に)