0

SSH Kompromitiert?!

Posted by Thorsten on 11. Februar 2011 in Allgemein, bash, linux, Ubuntu |

Ich hatte die Tage eine interessante Fehlermeldung auf einem meiner Ubuntu Host welchen ich mit überwache. Bei einem Verbindungsaufbau mit scp kam es zu der Fehlermeldung:

command-line: line 0: Bad configuration option: PermitLocalCommand
Couldn’t read packet: Connection reset by peer

Nach etwas googeln warum die Fehlermeldung erscheint bin ich u.a. auf Hinweis gestoßen worden doch die MD5 Checksumme meines sshs zu überprüfen. Möglicherweise wurde dieser kompromitiert. Bei Ubuntu mit dpkg Packetmanagement geht das mit diesen zwei netten Befehlen:

grep '\(ssh\|scp\)$' ll /var/lib/dpkg/info/openssh-client.md5sums
md5sum /usr/bin/ssh /usr/bin/scp

Die MD5 Summen von /usr/bin/ssh sind unterschiedlich. Hier handelt es sich um einen kompromitierten ssh! Wichtig hierbei, wie ist dies passiert. Die Einbruchstelle muss abgedichtet werden. Schaut euch das Datum der Datei an und geht die Logs durch.

Ändert die Passwörter eurer User, kontrolliert die ~/.ssh/authorized_keys auf Einträge die nicht von euch stammen bzw. erneuert diese. Onkel google hilft hier auch gerne weiter mit Informationen wie man das System sicher bekommt. Tauscht natürlich euren SSH gegen das original aus:

sudo apt-get remove --purge openssh-client ; sudo apt-get install openssh-client ; sudo apt-get install ssh

Das tut weh!

Schlagwörter: , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Copyright © 2009-2017 linux-voodoo.de All rights reserved.
This site is using the Desk Mess Mirrored theme, v2.4, from BuyNowShop.com.