ubuntu 10.10 sshd contient "VOUS VOULEZ FUMER UN SPLIFF" et des feuilles de pot ascii art. Est-ce à dire que j'ai été piraté?

12

Mon binaire sshd sur une machine ubuntu 10.10 contient l'illustration ascii suivante:

ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists            YOU WANNA      .                              
          SMOKE        M      A SPLIFF ?              
                  dM                              
        ROLL ME   MMr   %d TIMES                  
                 4MMML                  .         
                 MMMMM.                xf         
 .               MMMMM               .MM-         
  Mh..           MMMMMM            .MMMM          
  .MMM.         .MMMMML.          MMMMMh          
   )MMMh.        MMMMMM         MMMMMMM           
    3MMMMx.      MMMMMMf      xnMMMMMM            
    '*MMMMM      MMMMMM.     nMMMMMMP             
      *MMMMMx     MMMMM    .MMMMMMM=             
       *MMMMMh    MMMMM    JMMMMMMP               
         MMMMMM   3MMMM.  dMMMMMM            .    
          MMMMMM   MMMM  .MMMMM         .nnMP     
..          *MMMMx  MMM   dMMMM     .nnMMMMM*      
 MMn...     'MMMMr 'MM   MMM    .nMMMMMMM*        
  4MMMMnn..   *MMM  MM  MMP   .dMMMMMMM           
   MMMMMMMx.  *ML   M .M*  .MMMMMM**              
      *PMMMMMMhn. *x > M  .MMMM**                 
           **MMMMhx/.h/ .=*                       
                  .3P %....                       
                nP       *MMnx

Je suppose que cela signifie que ma machine a été piratée. Quelqu'un peut-il confirmer cela? Je ne peux pas imaginer que ce soit un fichier valide.

ubuntu ssh hacking Josh Knauer
la source
1
Assez créatif de leur part.

Réponses:

20

comparer grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sumsà md5sum /usr/sbin/sshd. Lorsqu'ils proposent différentes sommes md5, vous n'utilisez plus la version packagée. S'ils sont identiques, cela ne signifie rien de définitif, car toute personne capable de modifier votre binaire sshd a évidemment les privilèges de modifier la somme md5 enregistrée dans / var / lib / dpkg / info. L'étape suivante consiste à télécharger le package avec la même version depuis http://packages.ubuntu.com/openssh-server sur un ordinateur de confiance et à y vérifier la somme md5.

Ragoût
la source
4
Les sommes md5 sont en effet différentes. J'ai été piraté. Merci pour le pointeur!
Josh Knauer
0

En attendant: ne faites pas confiance à l'authentification par mot de passe. Utilisez les clés ssh pour cela. En outre, limitez l'accès de la console aux adresses IP à partir desquelles vous travaillez dans votre pare-feu. Et enfin: mettez régulièrement à jour vos packages de serveurs.

Pour atténuer le piratage: vérifiez les comptes d'utilisateurs inutilisés pour vous assurer qu'ils sont désactivés, recherchez les «processus étrangers» qui écoutent les ports accessibles de l'extérieur ou qui contactent des serveurs externes. Serrez votre pare-feu, également dans le sens sortant. Recherchez des sources apt étranges pour vous assurer que vous n'installerez pas de packages non fiables.

Bonne chance!

Chris
la source
1
Le consensus de ServerFault est qu'une fois que vous avez déterminé que vous avez une grave violation de sécurité (et qu'un serveur SSH escroc est définitivement un système entièrement compromis), il n'y a pas de réelles mesures d'atténuation. Vérifiez définitivement la réponse canonique serverfault.com/questions/218005/…
HBruijn