Ubuntu 10.10 sshd enthält "YOU WANNA SMOKE A SPLIFF" und Pot Leaf ASCII Art. Heißt das, ich wurde gehackt?

12

Meine sshd-Binärdatei auf einem Ubuntu 10.10-Computer enthält die folgenden ASCII-Grafiken:

ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists            YOU WANNA      .                              
          SMOKE        M      A SPLIFF ?              
                  dM                              
        ROLL ME   MMr   %d TIMES                  
                 4MMML                  .         
                 MMMMM.                xf         
 .               MMMMM               .MM-         
  Mh..           MMMMMM            .MMMM          
  .MMM.         .MMMMML.          MMMMMh          
   )MMMh.        MMMMMM         MMMMMMM           
    3MMMMx.      MMMMMMf      xnMMMMMM            
    '*MMMMM      MMMMMM.     nMMMMMMP             
      *MMMMMx     MMMMM    .MMMMMMM=             
       *MMMMMh    MMMMM    JMMMMMMP               
         MMMMMM   3MMMM.  dMMMMMM            .    
          MMMMMM   MMMM  .MMMMM         .nnMP     
..          *MMMMx  MMM   dMMMM     .nnMMMMM*      
 MMn...     'MMMMr 'MM   MMM    .nMMMMMMM*        
  4MMMMnn..   *MMM  MM  MMP   .dMMMMMMM           
   MMMMMMMx.  *ML   M .M*  .MMMMMM**              
      *PMMMMMMhn. *x > M  .MMMM**                 
           **MMMMhx/.h/ .=*                       
                  .3P %....                       
                nP       *MMnx

Ich gehe davon aus, dass dies bedeutet, dass meine Maschine gehackt wurde. Kann das jemand bestätigen? Ich kann mir nicht vorstellen, dass dies eine gültige Datei ist.

ubuntu ssh hacking Josh Knauer
quelle
1
Ziemlich kreativ von ihrer Seite.

Antworten:

20

vergleiche grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sumsmit md5sum /usr/sbin/sshd. Wenn sie unterschiedliche MD5-Summen haben, verwenden Sie die Paketversion nicht mehr. Wenn sie gleich sind, bedeutet dies nichts Bestimmtes, da jeder, der in der Lage ist, Ihre sshd-Binärdatei zu ändern, offensichtlich die Berechtigung hat, die in / var / lib / dpkg / info aufgezeichnete md5sum zu ändern. Der nächste Schritt wäre, das Paket mit der gleichen Version von http://packages.ubuntu.com/openssh-server auf einen vertrauenswürdigen Computer herunterzuladen und dort die MD5-Summe zu überprüfen.

Eintopf
quelle
4
Die md5-Summen sind in der Tat unterschiedlich. Ich wurde gehackt. Danke für den Hinweis!
Josh Knauer
0

In der Zwischenzeit: Passwortauthentifizierung nicht vertrauen. Verwenden Sie dazu ssh-Schlüssel. Beschränken Sie außerdem den Konsolenzugriff auf die IP-Adressen, von denen Sie in Ihrer Firewall arbeiten. Und zuletzt: Aktualisieren Sie regelmäßig Ihre Server-Pakete.

So verringern Sie den Hack: Überprüfen Sie nicht verwendete Benutzerkonten, um sicherzustellen, dass sie deaktiviert sind, und suchen Sie nach "fremden Prozessen", die von außen erreichbare Ports überwachen oder externe Server kontaktieren. Verschärfen Sie Ihre Firewall auch in ausgehender Richtung. Suchen Sie nach geeigneten Quellen, um sicherzustellen, dass Sie keine nicht vertrauenswürdigen Pakete installieren.

Viel Glück!

Chris
quelle
1
Nach dem ServerFault-Konsens gibt es keine wirklichen Abhilfemaßnahmen, wenn Sie erst einmal eine schwerwiegende Sicherheitsverletzung festgestellt haben (und ein nicht autorisierter SSH-Server ist definitiv ein vollständig gefährdetes System). Überprüfen Sie auf jeden Fall die kanonische Antwort serverfault.com/questions/218005/…
HBruijn