有人指责我,说我的 Linux Ubuntu 机器可能是服务器攻击的源头。
他们的技术是用这个修补过的 ssh 替换原来的 ssh,这样就消除了所有 sshd 日志和调试信息,同时允许任何用户帐户在提供特殊密码的情况下登录;此外,在某些情况下,他们在这个虚假的 ssh2 和原始 ssh 之间建立了联系。这解释了为什么我在 上发现 ssh 主机密钥被更改了。此外,他们还在 /tmp/ 、 /var/tmp/ 、 /dev/.lib1/ 和 /dev/shm/ 、 /dev/.lib1/ 和 /dev/shm/
、 /dev/.lib1/ 和 /dev/shm/ 中放入了其他一些东西
任何想法,如果这是可能的。我没有其他报告,我通过 ssh 连接到至少十几个其他服务器。如何在 Ubuntu 中检查嗅探器?我如何检查我的 ssh 是否仍然有效?
答案1
您是否正在尝试验证您的 sshd ?
如果是,那么您可以做两件事 1) 检查官方校验和和您自己的校验和(之前有人说过) 2) 使用 lsof 检查 sshd 打开了哪些文件。一个常见的方法是修改 sshd,将密码保存在某处,然后使用后门撤回文件。
一般来说,我建议暂时用另一个版本替换 sshd,但保留“被黑客入侵”的版本以供进一步测试(如果它被黑客入侵并且你没有对系统进行任何更改,那么你仍然容易受到攻击,因此检查 sshd 可能会对你有所帮助)
但为了以防万一,请检查一下可能的后门。你保留了“攻击”的任何日志吗?
答案2
它是不是像 rkhunter 那样的东西(http://www.rootkit.nl/) 您在找什么?它可作为 deb 包使用 (aptitude install rkhunter)
答案3
正如 pehrs 所说,您可能对检测嗅探器不感兴趣。(即使有人嗅探您的网络,这也是没有意义的,因为您的流是加密的。他应该进行离线分析,这将花费时间/几周/几个月/几年,具体取决于您的密码)。
但是,如果你想知道如何检测是否有变化,请查看奥塞克。这是一款非常棒的入侵检测工具。它可以用于很多事情。
PS,如果你真的对检测嗅探器感兴趣,请查看 查找局域网上的嗅探器
干杯