Как проверить снифферы в Ubuntu?
Кто-то обвиняет меня в том, что моя Linux-машина с Ubuntu может быть источником атаки на сервер.
Их метод заменял исходный ssh на этот исправленный ssh и, как таковой, исключал всю информацию о журналировании и отладке sshd, позволяя входить в любую учетную запись пользователя при наличии специального пароля; также, в некоторых случаях, они устанавливали связи между этим поддельным ssh2 и исходным ssh. Это объясняет, почему я обнаружил, что ключ хоста ssh изменился. Кроме того, они помещают некоторые другие вещи в / tmp /, / var / tmp /, /dev/.lib1/ и / dev / shm /, /dev/.lib1/ и / dev / shm /
, /dev/.lib1/ и / dev / shm /
Любые идеи, если это возможно. У меня не было других отчетов, и я подключаюсь через ssh как минимум к дюжине других серверов. как проверить снифферы в Ubuntu? Как я могу проверить, если мой SSH все еще действителен?
6 ответов
Вы пытаетесь проверить свой sshd?
Если да, то вы могли бы сделать две вещи: 1) проверить официальную контрольную сумму и свою (кто-то говорил это раньше) 2) использовать lsof, чтобы проверить, какие файлы открыт в sshd. Одна из распространенных вещей - модифицировать sshd, хранить где-нибудь пароли, а затем с помощью бэкдора выводить файл.
Как правило, я предлагаю временно заменить sshd другой версией, но оставить "взломанную" версию для дальнейшего тестирования (если она взломана и вы ничего не изменили в своей системе, то вы по-прежнему уязвимы, так что изучите sshd может вам помочь)
Но, на всякий случай, ищите возможные черные ходы. Вы сохранили какие-либо логи от "атаки"?
Самый безопасный вариант - создать резервную копию ваших настроек, отформатировать систему, затем выполнить новую установку и убедиться, что она полностью обновлена как можно скорее, желательно в автономном режиме.
Однако, похоже, что это было просто обвинение от кого-то в Интернете. Какие доказательства у них есть? Есть ли что-нибудь подозрительное на вашей машине?
В любом случае, вы можете попробовать пропустить сетевое соединение через другую систему и следить за трафиком, идущим туда и обратно. Может помочь что-то вроде ntop или etherape
Вы хотите создать компакт-диск с корневой файловой системой, набором инструментов для поиска руткитов и (если он у вас есть) базы данных tripwire из вашей системы с момента, когда вы знаете, что он не был взломан.
Хотя, в некоторой степени, контрольные суммы из двоичного файла ssh, установленного из того же репозитория, я думаю, должно быть достаточно приличным.
Вы ищете что-то вроде rkhunter ( http://www.rootkit.nl/)? Он доступен в виде пакета deb (aptitude install rkhunter)
Как сказал pehrs, вероятно, вы не заинтересованы в обнаружении сниффера. (Даже если кто-то прослушивает вашу сеть, это не имеет смысла, потому что ваш поток зашифрован. Он должен выполнять автономный анализ, который займет время / недели / месяцы / годы в зависимости от вашего пароля).
Но, если вы спросите, как вы можете обнаружить, если что-то изменилось, посмотрите на ossec. Это действительно ggoooood инструменты для обнаружения вторжений. Это может быть использовано для многих вещей.
PS В случае, если вы действительно заинтересованы в обнаружении сниффера, взгляните на Find Sniffer on LAN
ура
Любые идеи, если это возможно.
Да, это возможно.:)
У меня не было других отчетов, и я подключаюсь через ssh как минимум к дюжине других серверов.
Со взломанным ssh? Хлоп!
как проверить снифферы в Ubuntu?
Вы имеете в виду поиск руткитов, замененных файлов или программного обеспечения для сканирования сети?
Если твой ssh процесс взломан, для этого есть только одно решение: ВЫКЛЮЧИТЬ МАШИНУ СЕЙЧАС! Просто потяните за вилку, чтобы избежать запуска сценариев выключения. и снова расслабиться:)
Вы не можете действительно попытаться исправить взломанную систему, потому что вы не можете определить, какие другие части машины заражены, и разрешить хакерство продолжить. Единственный разумный способ - выполнить новую установку и скопировать документы со старого диска.
Старый диск можно использовать для проверки (из другой системы) и сравнения двоичных файлов с файлами, установленными менеджером пакетов.