Ubuntu

如何在 Ubuntu 中檢查嗅探器?

  • August 8, 2010

有人指責我的 linux ubuntu 機器可能是伺服器攻擊的源頭。

他們的技術是用這個修補過的 ssh 替換原來的 ssh,因此消除了所有 sshd 日誌記錄和調試資訊,同時允許任何使用者帳戶在提供特殊密碼時登錄;此外,在某些情況下,他們在這個虛假的 ssh2 和原始 ssh 之間建立了聯繫。這解釋了為什麼我發現 ssh 主機密鑰已更改。此外,他們還在 /tmp/ 、 /var/tmp/ 、 /dev/.lib1/ 和 /dev/shm/ 、 /dev/.lib1/ 和 /dev/shm/

、 /dev/.lib1/中添加了一些其他內容和 /dev/shm/

任何想法,如果這是可能的。我沒有其他報告,我正在通過 ssh 連接至少十幾個其他伺服器。如何在 Ubuntu 中檢查嗅探器?如何檢查我的 ssh 是否仍然有效?

您是否正在嘗試驗證您的 sshd ?

如果是,那麼您可以做兩件事 1)檢查官方校驗和和您的(之前有人說過) 2)使用 lsof 檢查 sshd 打開了哪些文件。一件常見的事情是修改 sshd,將密碼保存在某個地方,然後使用後門撤回文件。

一般來說,我建議用另一個版本臨時替換 sshd,但保留“被黑”版本以供進一步測試(如果它被黑並且您沒有對系統進行任何更改,那麼您仍然容易受到攻擊,因此請檢查sshd 可以幫助你)

但是,以防萬一,看看可能的後門。您是否保留了“攻擊”的任何日誌?

引用自:https://serverfault.com/questions/167292