Мой двоичный файл sshd на машине с ubuntu 10.10 содержит следующие изображения ascii:
ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists YOU WANNA .
SMOKE M A SPLIFF ?
dM
ROLL ME MMr %d TIMES
4MMML .
MMMMM. xf
. MMMMM .MM-
Mh.. MMMMMM .MMMM
.MMM. .MMMMML. MMMMMh
)MMMh. MMMMMM MMMMMMM
3MMMMx. MMMMMMf xnMMMMMM
'*MMMMM MMMMMM. nMMMMMMP
*MMMMMx MMMMM .MMMMMMM=
*MMMMMh MMMMM JMMMMMMP
MMMMMM 3MMMM. dMMMMMM .
MMMMMM MMMM .MMMMM .nnMP
.. *MMMMx MMM dMMMM .nnMMMMM*
MMn... 'MMMMr 'MM MMM .nMMMMMMM*
4MMMMnn.. *MMM MM MMP .dMMMMMMM
MMMMMMMx. *ML M .M* .MMMMMM**
*PMMMMMMhn. *x > M .MMMM**
**MMMMhx/.h/ .=*
.3P %....
nP *MMnx
Я предполагаю, что это означает, что мою машину взломали. Кто-нибудь может это подтвердить? Я не могу представить, что это действительный файл.
сравнить grep usr/sbin/sshd /var/lib/dpkg/info/openssh-server.md5sums к md5sum /usr/sbin/sshd. Когда они предлагают разные md5sum, вы больше не используете упакованную версию. Если они одинаковы, это не означает ничего определенного, поскольку любой, кто может изменить ваш двоичный файл sshd, очевидно, имеет права изменять md5sum, записанный в / var / lib / dpkg / info. Следующим шагом будет загрузка пакета с той же версией из http://packages.ubuntu.com/openssh-server на надежный компьютер и проверьте там md5sum.
Между тем: не доверяйте аутентификации по паролю. Для этого используйте ssh-ключи. Кроме того, ограничьте консольный доступ к IP-адресам, с которыми вы, как известно, работаете в вашем брандмауэре. И последнее: регулярно обновляйте свои серверные пакеты.
Чтобы избежать взлома: проверьте неиспользуемые учетные записи пользователей, чтобы убедиться, что они отключены, проверьте наличие «внешних процессов», которые прослушивают порты, доступные извне или связывающиеся с внешними серверами. Затяните брандмауэр, также в исходящем направлении. Проверьте наличие странных источников apt, чтобы убедиться, что вы не установите ненадежные пакеты.
Удачи!