O ubuntu 10.10 sshd contém “VOCÊ QUER FUMAR UM SPLIFF” e ascii art. Isso significa que fui invadido?

12

Meu binário sshd em uma máquina ubuntu 10.10 contém a seguinte arte gráfica ascii:

ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists            YOU WANNA      .                              
          SMOKE        M      A SPLIFF ?              
                  dM                              
        ROLL ME   MMr   %d TIMES                  
                 4MMML                  .         
                 MMMMM.                xf         
 .               MMMMM               .MM-         
  Mh..           MMMMMM            .MMMM          
  .MMM.         .MMMMML.          MMMMMh          
   )MMMh.        MMMMMM         MMMMMMM           
    3MMMMx.      MMMMMMf      xnMMMMMM            
    '*MMMMM      MMMMMM.     nMMMMMMP             
      *MMMMMx     MMMMM    .MMMMMMM=             
       *MMMMMh    MMMMM    JMMMMMMP               
         MMMMMM   3MMMM.  dMMMMMM            .    
          MMMMMM   MMMM  .MMMMM         .nnMP     
..          *MMMMx  MMM   dMMMM     .nnMMMMM*      
 MMn...     'MMMMr 'MM   MMM    .nMMMMMMM*        
  4MMMMnn..   *MMM  MM  MMP   .dMMMMMMM           
   MMMMMMMx.  *ML   M .M*  .MMMMMM**              
      *PMMMMMMhn. *x > M  .MMMM**                 
           **MMMMhx/.h/ .=*                       
                  .3P %....                       
                nP       *MMnx                    

Estou assumindo que isso significa que minha máquina foi invadida. alguém pode confirmar isso? Não consigo imaginar que este seja um arquivo válido.

Josh Knauer
fonte
1
Bastante criativo da parte deles.

Respostas:

20

compare grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sumscom md5sum /usr/sbin/sshd. Quando eles apresentam md5sums diferentes, você não está mais usando a versão empacotada. Se eles são iguais, isso não significa nada definitivo, já que qualquer pessoa capaz de modificar seu binário sshd obviamente tem privilégios para alterar o md5sum registrado em / var / lib / dpkg / info. O próximo passo seria baixar o pacote com a mesma versão de http://packages.ubuntu.com/openssh-server para um computador confiável e verificar o md5sum lá.

ensopado
fonte
4
As somas MD5 são realmente diferentes. Eu fui hackeado. Obrigado pelo ponteiro!
Josh Knauer
0

Enquanto isso: não confie na autenticação de senha. Use as teclas ssh para isso. Além disso, restrinja o acesso do console aos ips dos quais você trabalha no firewall. E por último: atualize regularmente seus pacotes de servidores.

Para atenuar o hack: verifique as contas de usuário não utilizadas para verificar se estão desabilitadas, verifique se há 'processos externos' que escutam portas acessíveis externamente ou que contatam servidores externos. Aperte seu firewall, também na direção de saída. Verifique fontes estranhas do apt para garantir que você não instale pacotes não confiáveis.

Boa sorte!

Chris
fonte
1
O consenso da ServerFault é que, depois de determinar que há uma séria violação de segurança (e um servidor SSH não autorizado é definitivamente um sistema totalmente comprometido), não há medidas de mitigação reais. Definitivamente, verifique a resposta canônica serverfault.com/questions/218005/…
HBruijn