我的Ubuntu 10.10机器上的sshd二进制文件包含以下ascii图稿:
ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists YOU WANNA . SMOKE MA SPLIFF ? dM ROLL ME MMr %d TIMES 4MMML . MMMMM. xf . MMMMM .MM- Mh.. MMMMMM .MMMM .MMM. .MMMMML. MMMMMh )MMMh. MMMMMM MMMMMMM 3MMMMx. MMMMMMf xnMMMMMM '*MMMMM MMMMMM. nMMMMMMP *MMMMMx MMMMM .MMMMMMM= *MMMMMh MMMMM JMMMMMMP MMMMMM 3MMMM. dMMMMMM . MMMMMM MMMM .MMMMM .nnMP .. *MMMMx MMM dMMMM .nnMMMMM* MMn... 'MMMMr 'MM MMM .nMMMMMMM* 4MMMMnn.. *MMM MM MMP .dMMMMMMM MMMMMMMx. *ML M .M* .MMMMMM** *PMMMMMMhn. *x > M .MMMM** **MMMMhx/.h/ .=* .3P %.... nP *MMnx 我假设这意味着我的机器已被黑客入侵。 任何人都可以确认吗? 我无法想象这是一个有效的文件。
比较grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sums到md5sum /usr/sbin/sshd 。 当他们拿出不同的md5sum时,你不再使用打包的版本。 如果它们是相同的,这并不意味着任何确定性的,因为任何能够修改你的sshd二进制文件的人显然都有权修改logging在/ var / lib / dpkg / info中的md5sum。 下一步是从http://packages.ubuntu.com/openssh-server下载相同版本的软件包到可信的计算机上,并在那里检查md5sum。
同时:不要相信密码authentication。 使用ssh键。 此外,限制控制台访问你知道在你的防火墙工作的IP。 最后:定期更新你的服务器软件包。
为了减轻黑客行为:检查未使用的useraccounts以确保它们被禁用,请检查“外部进程”,该进程监听从外部可访问的端口或与外部服务器联系的端口。 收紧你的防火墙,也是向外的方向。 检查奇怪的apt源以确保您不会安装不受信任的软件包。
祝你好运!