信息
最近,我访问的一台 Linux 服务器被入侵,攻击者使用修改后的 ssh 二进制文件窃取密码和 ssh 密钥。这让我怀疑攻击者是否入侵了我的 OSX 笔记本电脑,该笔记本电脑已打开 ssh 访问权限。sophos 病毒扫描没有发现任何异常,我也没有亨特由于 OSX 是在攻击前安装的,因此我无法比较系统二进制文件的哈希值以确保万无一失。但是,由于 OSX 的每个主要版本都相对标准,因此我向 fiends 询问了 md5 哈希值md5 /usr/bin/ssh,并 md5 /usr/sbin/sshd进行了基本的首次检查,以查看我的机器是否有任何不同。几封电子邮件之后,我发现了以下数据:
版本(Arch)[N] MD5(/usr/bin/ssh)MD5(/usr/sbin/sshd) OSX 10.5.8(PPC) [3] 1e9fd483eef23464ec61c815f7984d61 9d32a36294565368728c18de466e69f1 OSX 10.5.8 (英特尔) [5] 1e9fd483eef23464ec61c815f7984d61 9d32a36294565368728c18de466e69f1 OSX 10.6.x (英特尔) [7] 591fbe723011c17b6ce41c537353b059 e781fad4fc86cf652f6df22106e0bf0e OSX 10.6.x (英特尔) [4] 58be068ad5e575c303ec348a1c71d48b 33dafd419194b04a558c8404b484f650 我的 10.6.6 (英特尔) df344cc00a294c91230c65e8b7332a79 b5094ccf4cd074aaf573d4f5df75906a
其中 N 是具有该 MD5 的机器数量,最后一行是我的笔记本电脑。样本相对异构,跨越了几年不同品牌和型号的 Apple 以及不同版本的 10.6.x。我的系统的不同哈希值让我担心这些二进制文件可能已被泄露。所以我确保本周的备份是好的,并开始格式化我的系统并重新安装 OSX。
从制造商 DVD 重新安装 OSX 后,我发现 ssh 或 sshd 的 MD5 哈希都没有改变。
目标
确保我的系统没有任何恶意软件。我是否应该担心这个 OSX 基本安装(没有安装其他软件)已被破解?我也将系统更新到 10.6.6,也没有发现任何变化。
其他信息
我不确定这是否有用,但我的笔记本电脑是 2010 年 11 月购买的 i7 15 英寸 MacBook Pro,以下是一些输出system_profiler:
系统软件概述:
系统版本:Mac OS X 10.6.6(10J567)
内核版本:Darwin 10.6.0
64 位内核和扩展:否
启动后时间:1:37
硬件:
硬件概述:
型号名称:MacBook
型号标识符:MacBook6,2
处理器名称:Intel Core i7
处理器速度: 2.66 GHz
处理器数量:1
核心总数:2
L2 缓存(每个核心):256 KB
L3 缓存: 4 MB
内存:4 GB
处理器互连速度:4.8 GT/s
引导 ROM 版本:MBP61.0057.B0C
SMC 版本(系统):1.58f16
突发运动传感器:
状态:已启用
在笔记本电脑上,我发现:
$ codesign-vvv /usr/bin/ssh /usr/bin/ssh:在磁盘上有效 /usr/bin/ssh:满足其指定要求 $ codesign -vvv /usr/sbin/sshd /usr/sbin/sshd:在磁盘上有效 /usr/sbin/sshd:满足其指定要求 $ ls -la /usr/bin/ssh -rwxr-xr-x 1 根轮 1001520 2010 年 2 月 11 日 /usr/bin/ssh $ ls -la /usr/sbin/sshd -rwxr-xr-x 1 根轮 1304800 2010 年 2 月 11 日 /usr/sbin/sshd $ ls -la /sbin/md5 -r-xr-xr-x 1 根轮 65232 2009 年 5 月 18 日 /sbin/md5
更新
到目前为止,我还没有得到关于这个问题的答案,但如果你可以通过增加我可以比较的哈希值数量来提供帮助,那就太好了。要获取哈希值和版本号,请在 osx 上运行以下命令:
md5 /usr/bin/ssh md5 /usr/sbin/sshd SSH-V sw_vers
答案1
System Version: Mac OS X 10.6.3 (10J567)
这很奇怪。版本号应该是 10.6.6。您是否已完成升级(包括重启)?