我的 ubuntu 10.10 机器上的 sshd 二进制文件包含以下 ascii 图:
ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists YOU WANNA .
SMOKE M A SPLIFF ?
dM
ROLL ME MMr %d TIMES
4MMML .
MMMMM. xf
. MMMMM .MM-
Mh.. MMMMMM .MMMM
.MMM. .MMMMML. MMMMMh
)MMMh. MMMMMM MMMMMMM
3MMMMx. MMMMMMf xnMMMMMM
'*MMMMM MMMMMM. nMMMMMMP
*MMMMMx MMMMM .MMMMMMM=
*MMMMMh MMMMM JMMMMMMP
MMMMMM 3MMMM. dMMMMMM .
MMMMMM MMMM .MMMMM .nnMP
.. *MMMMx MMM dMMMM .nnMMMMM*
MMn... 'MMMMr 'MM MMM .nMMMMMMM*
4MMMMnn.. *MMM MM MMP .dMMMMMMM
MMMMMMMx. *ML M .M* .MMMMMM**
*PMMMMMMhn. *x > M .MMMM**
**MMMMhx/.h/ .=*
.3P %....
nP *MMnx
我猜想这意味着我的机器被黑客入侵了。有人能证实这一点吗?我无法想象这是一个有效的文件。
答案1
grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sums与进行比较md5sum /usr/sbin/sshd。如果它们得出不同的 md5sum,则您不再使用打包版本。如果它们相同,则并不意味着什么,因为任何能够修改 sshd 二进制文件的人显然都有权更改 /var/lib/dpkg/info 中记录的 md5sum。下一步是从 下载具有相同版本的软件包http://packages.ubuntu.com/openssh-server到一台受信任的计算机并在那里检查 md5sum。
答案2
同时:不要信任密码验证。为此使用 ssh 密钥。此外,在防火墙中将控制台访问限制到您已知的 IP。最后:定期更新您的服务器软件包。
要缓解黑客攻击,请检查未使用的用户帐户以确保它们已被禁用,检查是否有“外部进程”监听可从外部访问的端口或联系外部服务器。加强防火墙,包括出站方向。检查是否有奇怪的 apt 源以确保不会安装不受信任的软件包。
祝你好运!