Информация
Недавно один из серверов linux, к которому я обращаюсь, был взломан для кражи паролей и ключей ssh с использованием модифицированного двоичного файла ssh. Это привело меня к вопросу о том, что злоумышленник скомпрометировал мой ноутбук OSX с включенным ssh-доступом. Проверка на наличие вируса sophos ничего не дала , и у меня не было установленного rkhunter до атаки, поэтому я не мог сравнить хэши двоичных файлов системы. Однако, поскольку OSX является относительно стандартным для каждого из основных выпусков, я попросил извергов для md5 хэшей md5 /usr/bin/ssh и md5 /usr/sbin/sshd в качестве основной первой проверки, чтобы увидеть, было ли что-то другое на моей машине. Через несколько писем я нашел следующие данные:
Version (Arch) [N] MD5 (/usr/bin/ssh) MD5 (/usr/sbin/sshd)
OSX 10.5.8 (PPC) [3] 1e9fd483eef23464ec61c815f7984d61 9d32a36294565368728c18de466e69f1
OSX 10.5.8 (intel) [5] 1e9fd483eef23464ec61c815f7984d61 9d32a36294565368728c18de466e69f1
OSX 10.6.x (intel) [7] 591fbe723011c17b6ce41c537353b059 e781fad4fc86cf652f6df22106e0bf0e
OSX 10.6.x (intel) [4] 58be068ad5e575c303ec348a1c71d48b 33dafd419194b04a558c8404b484f650
Mine 10.6.6 (intel) df344cc00a294c91230c65e8b7332a79 b5094ccf4cd074aaf573d4f5df75906a
где N - количество машин с этим MD5, а последний ряд - мой ноутбук. Выборка является относительно неоднородной, охватывающей несколько лет разных марок и моделей яблок, а также различные версии 10.6.x. Различный хэш для моей системы заставил меня беспокоиться, что эти двоичные файлы могли быть скомпрометированы. Поэтому я позаботился о том, чтобы мое резервное копирование за неделю было хорошим, и погрузился в форматирование моей системы и переустановку OSX.
После переустановки OSX с DVD-диска производителя я обнаружил, что хэш MD5 не изменился ни для ssh, ни для sshd.
Цель
Убедитесь, что в моей системе нет вредоносных программ. Должен ли я беспокоиться о том, что эта базовая установка OSX (без установки другого программного обеспечения) была скомпрометирована? Я также обновил свою систему до 10.6.6 и не нашел никаких изменений.
Дополнительная информация
Я не уверен, что это полезная информация, но мой ноутбук - 15-дюймовый MacBook Pro с i7, купленный в ноябре 2010 года, и вот некоторые из system_profiler:
System Software Overview:
System Version: Mac OS X 10.6.6 (10J567)
Kernel Version: Darwin 10.6.0
64-bit Kernel and Extensions: No
Time since boot: 1:37
Hardware:
Hardware Overview:
Model Name: MacBook
Model Identifier: MacBook6,2
Processor Name: Intel Core i7
Processor Speed: 2.66 GHz
Number Of Processors: 1
Total Number Of Cores: 2
L2 Cache (per core): 256 KB
L3 Cache: 4 MB
Memory: 4 GB
Processor Interconnect Speed: 4.8 GT/s
Boot ROM Version: MBP61.0057.B0C
SMC Version (system): 1.58f16
Sudden Motion Sensor:
State: Enabled
На ноутбуке нахожу:
$ codesign -vvv /usr/bin/ssh /usr/bin/ssh: valid on disk /usr/bin/ssh: satisfies its Designated Requirement $ codesign -vvv /usr/sbin/sshd /usr/sbin/sshd: valid on disk /usr/sbin/sshd: satisfies its Designated Requirement $ ls -la /usr/bin/ssh -rwxr-xr-x 1 root wheel 1001520 Feb 11 2010 /usr/bin/ssh $ ls -la /usr/sbin/sshd -rwxr-xr-x 1 root wheel 1304800 Feb 11 2010 /usr/sbin/sshd $ ls -la /sbin/md5 -r-xr-xr-x 1 root wheel 65232 May 18 2009 /sbin/md5
Обновить
До сих пор я не получил ответа на этот вопрос, но если бы вы могли помочь, увеличив число хэшей, с которыми я могу сравнивать, это было бы здорово. Чтобы получить хэши и номера версий, выполните на osx следующее:
md5 /usr/bin/ssh md5 /usr/sbin/sshd ssh -V sw_vers