Verificação de invasão do OSX 10.6.6 SSH md5

1

Em formação

Recentemente, um dos servidores linux que eu acesso foi comprometido para roubar senhas e chaves ssh usando um binário ssh modificado. Isso me levou a questionar se o invasor havia comprometido meu Laptop OSX que tinha o acesso ssh ativado. Uma varredura do vírus sophos não resultou em nada, e eu não tinha rkhunter instalado antes do ataque, então eu não poderia comparar os hashes dos binários do sistema para ter certeza. No entanto, como o OSX é relativamente padrão para cada um dos seus principais lançamentos, pedi aos demônios por hashes md5 md5 /usr/bin/ssh e md5 /usr/sbin/sshd como uma primeira verificação básica para ver se havia algo diferente na minha máquina. Alguns e-mails depois encontrei os seguintes dados:

    Version  (Arch) [N]               MD5 (/usr/bin/ssh)             MD5 (/usr/sbin/sshd)
OSX  10.5.8   (PPC) [3] 1e9fd483eef23464ec61c815f7984d61 9d32a36294565368728c18de466e69f1
OSX  10.5.8 (intel) [5] 1e9fd483eef23464ec61c815f7984d61 9d32a36294565368728c18de466e69f1
OSX  10.6.x (intel) [7] 591fbe723011c17b6ce41c537353b059 e781fad4fc86cf652f6df22106e0bf0e
OSX  10.6.x (intel) [4] 58be068ad5e575c303ec348a1c71d48b 33dafd419194b04a558c8404b484f650
Mine 10.6.6 (intel)     df344cc00a294c91230c65e8b7332a79 b5094ccf4cd074aaf573d4f5df75906a

onde N é o número de máquinas com esse MD5, e a última linha é meu laptop. A amostra é relativamente heterogênea, abrangendo alguns anos de diferentes marcas e modelos de maçãs, e diferentes versões de 10.6.x. O hash diferente para o meu sistema me deixou preocupada que esses binários pudessem ter sido comprometidos. Então, certifiquei-me de que meu backup para a semana estava bom e mergulhei na formatação do meu sistema e na reinstalação do OSX.

Depois de reinstalar o OSX do DVD do fabricante, descobri que o hash MD5 não foi alterado para ssh ou sshd.

Objetivo

Certifique-se de que meu sistema não tenha nenhum software malicioso. Devo estar preocupado que esta instalação básica do OSX (sem nenhum outro software instalado) tenha sido comprometida? Eu também atualizei meu sistema para 10.6.6 e não encontrei nenhuma mudança também.

Outra informação

Não tenho certeza se isso é uma informação útil, mas meu laptop é um MacBook Pro i7 de 15 polegadas comprado em novembro de 2010, e aqui estão alguns resultados de system_profiler:

    System Software Overview:

      System Version: Mac OS X 10.6.6 (10J567)
      Kernel Version: Darwin 10.6.0
      64-bit Kernel and Extensions: No
      Time since boot: 1:37

Hardware:

    Hardware Overview:

      Model Name: MacBook
      Model Identifier: MacBook6,2
      Processor Name: Intel Core i7
      Processor Speed: 2.66 GHz
      Number Of Processors: 1
      Total Number Of Cores: 2
      L2 Cache (per core): 256 KB
      L3 Cache: 4 MB
      Memory: 4 GB
      Processor Interconnect Speed: 4.8 GT/s
      Boot ROM Version: MBP61.0057.B0C
      SMC Version (system): 1.58f16
      Sudden Motion Sensor:
          State: Enabled

No laptop, eu acho:

$ codesign -vvv /usr/bin/ssh
/usr/bin/ssh: valid on disk
/usr/bin/ssh: satisfies its Designated Requirement
$ codesign -vvv /usr/sbin/sshd
/usr/sbin/sshd: valid on disk
/usr/sbin/sshd: satisfies its Designated Requirement
$ ls -la /usr/bin/ssh
-rwxr-xr-x  1 root  wheel  1001520 Feb 11  2010 /usr/bin/ssh
$ ls -la /usr/sbin/sshd
-rwxr-xr-x  1 root  wheel  1304800 Feb 11  2010 /usr/sbin/sshd
$ ls -la /sbin/md5
-r-xr-xr-x  1 root  wheel  65232 May 18  2009 /sbin/md5

Atualizar

Até agora eu não obtive uma resposta sobre essa questão, mas se você pudesse ajudar aumentando o número de hashes que eu posso comparar, isso seria ótimo. Para obter hashes e números de versão, execute o seguinte no osx:

md5 /usr/bin/ssh
md5 /usr/sbin/sshd
ssh -V
sw_vers
Alex
fonte
Quais são as datas de modificação de ssh e sshd? E eles estão devidamente codificados? (Corre codesign -vvv em ambos)
Asmus
Eu verifico ssh, sshd e md5 no laptop e em outra máquina 10.6.6, e coloquei os resultados acima.
Alex
Bem, se você correr codesign -d -vv em ambos e retorna (entre outros) Authority=Software Signing Authority=Apple Code Signing Certification Authority Authority=Apple Root CA então eu acho que tudo deve ficar bem (ou então a CA da Apple teria que ser comprometida), mas ainda é estranho que sua soma de md5 falhe ...
Asmus
Apenas para jogar do lado seguro: se você correr md5 /sbin/md5 retorna 94dd237389823d38fc4183113099fb5a?
Asmus
Corrida codesign -d -vv tanto no laptop quanto em outra máquina 10.6.6, retorna os mesmos valores para cada uma das linhas. Além disso MD5 (/sbin/md5) = 94dd237389823d38fc4183113099fb5a para ambas as máquinas. Finalmente, shasum é o mesmo para ambas as máquinas.
Alex

Respostas:

1
System Version: Mac OS X 10.6.3 (10J567)

Isso é estranho. Esse número de compilação deve ser 10.6.6. Você concluiu a atualização, incluindo a reinicialização?

LaC
fonte
Sim, desculpe, eu estava mantendo essa máquina fora da internet por enquanto antes que eu saiba que é seguro, então foi um erro lidar com isso.
Alex