如何检查Ubuntu中的嗅探器?

有人指责我,我的Linux Ubuntu的机器可能是服务器攻击的来源。

他们的技术是用这个补丁的sshreplace原来的ssh,这样就消除了所有的sshd日志和debugging信息,同时允许任何用户帐户在提供特殊密码时login; 而且在某些情况下,他们在这个虚假的ssh2和原始的ssh之间build立了联系。 这解释了为什么,我发现ssh主机密钥已更改。 另外,他们在/ tmp /,/ var / tmp /,/dev/.lib1/和/ dev / shm /,/dev/.lib1/和/ dev / shm /
,/dev/.lib1/和/ dev / shm /

任何想法,如果这是可能的。 我没有其他的报告,我通过ssh连接至less十几台服务器。 如何检查Ubuntu中的嗅探器? 我如何检查我的ssh是否仍然有效?

你想validation你的sshd吗?

如果是,那么你可以做两件事1)检查官方校验和和你的(以前有人说过)2)使用lsof来检查sshd打开的文件。 一个普通的做法是修改sshd,在某个地方保存密码,然后用后门取出文件。

一般来说,我build议暂时用另一个版本replacesshd,但是保留“被黑客入侵的”版本以便进一步testing(如果被黑客入侵,而且你的系统没有任何改变,那么你仍然是脆弱的,所以要检查sshd可能会帮助你)

但是,以防万一,寻找可能的后门。 你有没有从“攻击”的日志?

是否像你正在寻找的rkhunter( http://www.rootkit.nl/ )? 它可以作为deb包(aptitude install rkhunter)

正如pehrs所说,你可能对检测嗅探器不感兴趣。 (即使有人在嗅探您的networking,也不会有意义,因为您的数据stream是encryption的,他应该进行离线分析,根据您的密码,这需要时间/周/月/年)。

但是,如果你问你如何检测是否有什么变化,看看ossec 。 这是一个真正的ggoooood工具来检测入侵。 它可以用于许多事情。

PS,如果你真的有兴趣在检测嗅探器,看看局域网上的查找嗅探器

干杯

任何想法,如果这是可能的。

是的,这是可能的。 🙂

我没有其他的报告,我通过ssh连接至less十几台服务器。

用一个黑客ssh? 哎呀!

如何检查Ubuntu中的嗅探器?

你的意思是寻找rootkit,replace文件或networking扫描软件?

如果你的ssh进程被黑客入侵,那么只有一个解决scheme:立即closures机器! 只要拔下插头,以避免关机脚本运行。 再放松一下:)

您无法真正尝试修复被黑客入侵的系统,因为您无法知道机器的哪些部分受到感染,并允许黑客继续。 唯一的方法是做一个全新的安装,并从旧磁盘复制文件。

旧磁盘可用于检查(从不同的系统),并将二进制文件与您的软件包pipe理器安装的文件进行比较。

最安全的select是备份您的configuration,格式化系统,然后重新安装,并确保尽快完全更新,最好是离线。

但是,这听起来像只是互联网上的某个人的指责。 他们有什么证据? 你的机器上有什么可疑的事情发生吗?

无论如何,你可能会尝试的一件事是通过另一个系统传递你的networking连接,并监视去往和去往的stream量。 像ntop或etherape可以帮助。

你想用一个根文件系统,各种rootkit发现工具和(如果有的话)从系统中build立一个tripwire数据库来创build一个CD,从你知道它没有被黑客入侵的时间点开始。

但是,从某种程度上来说,从同一个仓库安装的ssh二进制文件的校验和应该足够体面,我猜。