ubuntu 10.10 sshd ประกอบด้วย“ YOU WANNA SMOKE A SPLIFF” และ pot leaf ascii art นี่หมายความว่าฉันถูกแฮ็กหรือไม่?


12

ไบนารี sshd ของฉันบนเครื่อง ubuntu 10.10 ประกอบด้วยงานศิลปะ ascii ต่อไปนี้:

ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists            YOU WANNA      .                              
          SMOKE        M      A SPLIFF ?              
                  dM                              
        ROLL ME   MMr   %d TIMES                  
                 4MMML                  .         
                 MMMMM.                xf         
 .               MMMMM               .MM-         
  Mh..           MMMMMM            .MMMM          
  .MMM.         .MMMMML.          MMMMMh          
   )MMMh.        MMMMMM         MMMMMMM           
    3MMMMx.      MMMMMMf      xnMMMMMM            
    '*MMMMM      MMMMMM.     nMMMMMMP             
      *MMMMMx     MMMMM    .MMMMMMM=             
       *MMMMMh    MMMMM    JMMMMMMP               
         MMMMMM   3MMMM.  dMMMMMM            .    
          MMMMMM   MMMM  .MMMMM         .nnMP     
..          *MMMMx  MMM   dMMMM     .nnMMMMM*      
 MMn...     'MMMMr 'MM   MMM    .nMMMMMMM*        
  4MMMMnn..   *MMM  MM  MMP   .dMMMMMMM           
   MMMMMMMx.  *ML   M .M*  .MMMMMM**              
      *PMMMMMMhn. *x > M  .MMMM**                 
           **MMMMhx/.h/ .=*                       
                  .3P %....                       
                nP       *MMnx                    

ฉันสมมติว่านี่หมายความว่าเครื่องของฉันถูกแฮ็ก มีใครยืนยันได้ไหม ฉันไม่สามารถจินตนาการได้ว่านี่เป็นไฟล์ที่ถูกต้อง


1
ความคิดสร้างสรรค์สวยในส่วนของพวกเขา

คำตอบ:


20

เปรียบเทียบไปgrep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sums md5sum /usr/sbin/sshdเมื่อมากับ md5sums ที่แตกต่างกันคุณจะไม่ใช้รุ่นที่บรรจุอีกต่อไป หากพวกเขาเหมือนกันก็ไม่ได้หมายความว่าจะแตกต่างกันไปเพราะใครก็ตามที่สามารถแก้ไขไบนารี sshd ของคุณได้อย่างชัดเจนมีสิทธิ์ในการเปลี่ยนแปลง md5sum ที่บันทึกใน / var / lib / dpkg / info ขั้นตอนต่อไปคือการดาวน์โหลดแพ็คเกจด้วยรุ่นเดียวกันจากhttp://packages.ubuntu.com/openssh-serverไปยังคอมพิวเตอร์ที่เชื่อถือได้และตรวจสอบ md5sum ที่นั่น


4
ผลรวม md5 นั้นแตกต่างกันแน่นอน ฉันถูกแฮ็ก ขอบคุณสำหรับตัวชี้!
Josh Knauer

0

ในเวลาเฉลี่ย: อย่าเชื่อถือการตรวจสอบรหัสผ่าน ใช้ปุ่ม ssh สำหรับสิ่งนั้น นอกจากนี้ จำกัด การเข้าถึงคอนโซลของไอพีที่คุณรู้ว่าทำงานจากในไฟร์วอลล์ของคุณ และสุดท้าย: อัพเดทแพ็คเกจเซิร์ฟเวอร์ของคุณเป็นประจำ

เพื่อลดการแฮ็ค: ตรวจสอบบัญชีผู้ใช้ที่ไม่ได้ใช้เพื่อให้แน่ใจว่าพวกเขาถูกปิดใช้งานตรวจสอบ 'กระบวนการต่างประเทศ' ซึ่งฟังพอร์ตที่เข้าถึงได้จากภายนอกหรือติดต่อเซิร์ฟเวอร์ภายนอก กระชับไฟร์วอลล์ของคุณในทิศทางขาออก ตรวจสอบแหล่งที่มาของ apt แปลก ๆ เพื่อให้แน่ใจว่าคุณจะไม่ติดตั้งแพ็คเกจที่ไม่น่าเชื่อถือ

โชคดี!


1
ฉันทามติ ServerFault คือเมื่อคุณพิจารณาแล้วว่าคุณมีช่องโหว่ด้านความปลอดภัยอย่างร้ายแรง (และเซิร์ฟเวอร์ SSH อันธพาลเป็นระบบที่ถูกบุกรุกอย่างสมบูรณ์) ไม่มีมาตรการบรรเทาผลกระทบที่แท้จริง แน่นอนตรวจสอบคำตอบที่เป็นที่ยอมรับserverfault.com/questions/218005/...
HBruijn
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.