2010-08-03

Linux : System Security

• 最近幫陽明管的機器接連遭受 ssh 入侵攻擊，並發現系統在執行 scanssh 的程式。從 ​Are these scan logs dangerous ? 這篇文章中學到原來可以用 debsums 檢查檔案 md5sum 正不正確，就來測試一下。

  # apt-get install debsums
  # debsums -c
  

  • debsums -c 會顯示出有被竄改過，而且是 deb 套件中的檔案。因為這樣跑才發現原來系統的 /usr/bin/ssh 跟 /usr/sbin/sshd 都被改過。所以重裝 openssh-client 跟 openssh-server 把被竄改過的 binary 蓋掉。

    # apt-get --reinstall install openssh-client openssh-server