Информация
Недавно один из серверов Linux, к которым я получаю доступ, был поставлен под угрозу для кражи паролей и ssh ключей с помощью измененного ssh двоичного файла. Это приводит меня к вопросу, если взломщик поставил под угрозу мой Ноутбук OSX, который имел ssh включенный доступ. sophos вирусное сканирование ничего не подняло, и у меня не было rkhunter установленным перед нападением, таким образом, я не мог сравнить хеши системных двоичных файлов, чтобы быть уверенным. Однако, потому что OSX является относительно стандартным для каждой из их главных версий, я попросил у злодеев хешей md5 md5 /usr/bin/ssh
и md5 /usr/sbin/sshd
как основная первая проверка, которая будет видеть, было ли что-либо различное в моей машине. Несколько электронных писем позже я нашел следующие данные:
Version (Arch) [N] MD5 (/usr/bin/ssh) MD5 (/usr/sbin/sshd) OSX 10.5.8 (PPC) [3] 1e9fd483eef23464ec61c815f7984d61 9d32a36294565368728c18de466e69f1 OSX 10.5.8 (intel) [5] 1e9fd483eef23464ec61c815f7984d61 9d32a36294565368728c18de466e69f1 OSX 10.6.x (intel) [7] 591fbe723011c17b6ce41c537353b059 e781fad4fc86cf652f6df22106e0bf0e OSX 10.6.x (intel) [4] 58be068ad5e575c303ec348a1c71d48b 33dafd419194b04a558c8404b484f650 Mine 10.6.6 (intel) df344cc00a294c91230c65e8b7332a79 b5094ccf4cd074aaf573d4f5df75906a
где N является количеством машин с с тем MD5, и последняя строка является моим ноутбуком. Образец является относительно неоднородным охватыванием нескольких лет различных, делает и модели Яблок и различные версии 10.6.x. Другой хеш для моей системы сделал меня, волновался, что эти двоичные файлы, возможно, были поставлены под угрозу. Таким образом, я удостоверился, что мое резервное копирование в течение недели было хорошо, и погрузилось в форматирование моей системы и переустановку OSX.
После переустановки OSX от производителя DVD я нашел, что хеш MD5 не изменился или для ssh или для sshd.
Цель
Удостоверьтесь, что моя система, не имеет никакого вредоносного программного обеспечения. Я должен волноваться, что эта основная установка OSX (без другого установленного программного обеспечения) была поставлена под угрозу? Я также обновил свою систему к 10.6.6 и не нашел изменения также.
Другая информация
Я не уверен, является ли это полезной информацией, но мой ноутбук является i7 15-дюймовым MacBook Pro, купленным в ноябре 2010, и здесь является некоторым выводом от system_profiler
:
System Software Overview: System Version: Mac OS X 10.6.6 (10J567) Kernel Version: Darwin 10.6.0 64-bit Kernel and Extensions: No Time since boot: 1:37 Hardware: Hardware Overview: Model Name: MacBook Model Identifier: MacBook6,2 Processor Name: Intel Core i7 Processor Speed: 2.66 GHz Number Of Processors: 1 Total Number Of Cores: 2 L2 Cache (per core): 256 KB L3 Cache: 4 MB Memory: 4 GB Processor Interconnect Speed: 4.8 GT/s Boot ROM Version: MBP61.0057.B0C SMC Version (system): 1.58f16 Sudden Motion Sensor: State: Enabled
На ноутбуке я нахожу:
$ codesign -vvv /usr/bin/ssh /usr/bin/ssh: valid on disk /usr/bin/ssh: satisfies its Designated Requirement $ codesign -vvv /usr/sbin/sshd /usr/sbin/sshd: valid on disk /usr/sbin/sshd: satisfies its Designated Requirement $ ls -la /usr/bin/ssh -rwxr-xr-x 1 root wheel 1001520 Feb 11 2010 /usr/bin/ssh $ ls -la /usr/sbin/sshd -rwxr-xr-x 1 root wheel 1304800 Feb 11 2010 /usr/sbin/sshd $ ls -la /sbin/md5 -r-xr-xr-x 1 root wheel 65232 May 18 2009 /sbin/md5
Обновление
До сих пор я не получил ответ об этом вопросе, но если Вы могли бы помочь путем увеличения числа хешей, с которыми я могу выдержать сравнение, который был бы большим. Для получения хешей и номеров версий, выполняют следующий osx:
md5 /usr/bin/ssh md5 /usr/sbin/sshd ssh -V sw_vers