ubuntu 10.10 sshd contiene "USTED QUIERE FUMAR UN SPLIFF" y una hoja de marihuana arte ascii. ¿Esto significa que he sido pirateado?

12

Mi binario sshd en una máquina ubuntu 10.10 contiene la siguiente obra de arte ascii:

ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists            YOU WANNA      .                              
          SMOKE        M      A SPLIFF ?              
                  dM                              
        ROLL ME   MMr   %d TIMES                  
                 4MMML                  .         
                 MMMMM.                xf         
 .               MMMMM               .MM-         
  Mh..           MMMMMM            .MMMM          
  .MMM.         .MMMMML.          MMMMMh          
   )MMMh.        MMMMMM         MMMMMMM           
    3MMMMx.      MMMMMMf      xnMMMMMM            
    '*MMMMM      MMMMMM.     nMMMMMMP             
      *MMMMMx     MMMMM    .MMMMMMM=             
       *MMMMMh    MMMMM    JMMMMMMP               
         MMMMMM   3MMMM.  dMMMMMM            .    
          MMMMMM   MMMM  .MMMMM         .nnMP     
..          *MMMMx  MMM   dMMMM     .nnMMMMM*      
 MMn...     'MMMMr 'MM   MMM    .nMMMMMMM*        
  4MMMMnn..   *MMM  MM  MMP   .dMMMMMMM           
   MMMMMMMx.  *ML   M .M*  .MMMMMM**              
      *PMMMMMMhn. *x > M  .MMMM**                 
           **MMMMhx/.h/ .=*                       
                  .3P %....                       
                nP       *MMnx                    

Supongo que esto significa que mi máquina ha sido pirateada. ¿Alguien puede confirmar esto? No puedo imaginar que este sea un archivo válido.

Josh Knauer
fuente
1
Bastante creativo por su parte.

Respuestas:

20

comparar grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sumsa md5sum /usr/sbin/sshd. Cuando vienen con diferentes md5sums, ya no estás usando la versión empaquetada. Si son iguales, no significa nada definitivo, ya que cualquiera que pueda modificar su binario sshd obviamente tiene privilegios para alterar el md5sum registrado en / var / lib / dpkg / info. El siguiente paso sería descargar el paquete con la misma versión desde http://packages.ubuntu.com/openssh-server a una computadora confiable y verificar el md5sum allí.

estofado
fuente
44
Las sumas md5 son de hecho diferentes. He sido hackeado ¡Gracias por la anotación!
Josh Knauer el
0

Mientras tanto: no confíe en la autenticación de contraseña. Use las teclas ssh para eso. Además, restrinja el acceso de la consola a las IP desde las que se sabe que trabaja en su firewall. Y por último: actualice regularmente los paquetes de su servidor.

Para mitigar el pirateo: verifique las cuentas de uso no utilizadas para asegurarse de que estén deshabilitadas, verifique si hay 'procesos externos' que escuchen puertos accesibles desde el exterior o que contacten a servidores externos. Apriete su firewall, también en dirección saliente. Busque fuentes de apt extrañas para asegurarse de que no instalará paquetes no confiables.

¡Buena suerte!

Chris
fuente
1
El consenso de ServerFault es que una vez que ha determinado que tiene una violación grave de seguridad (y que un servidor SSH falso es definitivamente un sistema totalmente comprometido) no hay medidas de mitigación reales. Definitivamente revise la respuesta canónica serverfault.com/questions/218005/…
HBruijn