Em formação
Recentemente, um dos servidores linux que eu acesso foi comprometido para roubar senhas e chaves ssh usando um binário ssh modificado. Isso me levou a questionar se o invasor havia comprometido meu Laptop OSX que tinha o acesso ssh ativado. Uma varredura do vírus sophos não resultou em nada, e eu não tinha rkhunter instalado antes do ataque, então eu não poderia comparar os hashes dos binários do sistema para ter certeza. No entanto, como o OSX é relativamente padrão para cada um dos seus principais lançamentos, pedi aos demônios por hashes md5 md5 /usr/bin/ssh
e md5 /usr/sbin/sshd
como uma primeira verificação básica para ver se havia algo diferente na minha máquina. Alguns e-mails depois encontrei os seguintes dados:
Version (Arch) [N] MD5 (/usr/bin/ssh) MD5 (/usr/sbin/sshd) OSX 10.5.8 (PPC) [3] 1e9fd483eef23464ec61c815f7984d61 9d32a36294565368728c18de466e69f1 OSX 10.5.8 (intel) [5] 1e9fd483eef23464ec61c815f7984d61 9d32a36294565368728c18de466e69f1 OSX 10.6.x (intel) [7] 591fbe723011c17b6ce41c537353b059 e781fad4fc86cf652f6df22106e0bf0e OSX 10.6.x (intel) [4] 58be068ad5e575c303ec348a1c71d48b 33dafd419194b04a558c8404b484f650 Mine 10.6.6 (intel) df344cc00a294c91230c65e8b7332a79 b5094ccf4cd074aaf573d4f5df75906a
onde N é o número de máquinas com esse MD5, e a última linha é meu laptop. A amostra é relativamente heterogênea, abrangendo alguns anos de diferentes marcas e modelos de maçãs, e diferentes versões de 10.6.x. O hash diferente para o meu sistema me deixou preocupada que esses binários pudessem ter sido comprometidos. Então, certifiquei-me de que meu backup para a semana estava bom e mergulhei na formatação do meu sistema e na reinstalação do OSX.
Depois de reinstalar o OSX do DVD do fabricante, descobri que o hash MD5 não foi alterado para ssh ou sshd.
Objetivo
Certifique-se de que meu sistema não tenha nenhum software malicioso. Devo estar preocupado que esta instalação básica do OSX (sem nenhum outro software instalado) tenha sido comprometida? Eu também atualizei meu sistema para 10.6.6 e não encontrei nenhuma mudança também.
Outra informação
Não tenho certeza se isso é uma informação útil, mas meu laptop é um MacBook Pro i7 de 15 polegadas comprado em novembro de 2010, e aqui estão alguns resultados de system_profiler
:
System Software Overview: System Version: Mac OS X 10.6.6 (10J567) Kernel Version: Darwin 10.6.0 64-bit Kernel and Extensions: No Time since boot: 1:37 Hardware: Hardware Overview: Model Name: MacBook Model Identifier: MacBook6,2 Processor Name: Intel Core i7 Processor Speed: 2.66 GHz Number Of Processors: 1 Total Number Of Cores: 2 L2 Cache (per core): 256 KB L3 Cache: 4 MB Memory: 4 GB Processor Interconnect Speed: 4.8 GT/s Boot ROM Version: MBP61.0057.B0C SMC Version (system): 1.58f16 Sudden Motion Sensor: State: Enabled
No laptop, eu acho:
$ codesign -vvv /usr/bin/ssh /usr/bin/ssh: valid on disk /usr/bin/ssh: satisfies its Designated Requirement $ codesign -vvv /usr/sbin/sshd /usr/sbin/sshd: valid on disk /usr/sbin/sshd: satisfies its Designated Requirement $ ls -la /usr/bin/ssh -rwxr-xr-x 1 root wheel 1001520 Feb 11 2010 /usr/bin/ssh $ ls -la /usr/sbin/sshd -rwxr-xr-x 1 root wheel 1304800 Feb 11 2010 /usr/sbin/sshd $ ls -la /sbin/md5 -r-xr-xr-x 1 root wheel 65232 May 18 2009 /sbin/md5
Atualizar
Até agora eu não obtive uma resposta sobre essa questão, mas se você pudesse ajudar aumentando o número de hashes que eu posso comparar, isso seria ótimo. Para obter hashes e números de versão, execute o seguinte no osx:
md5 /usr/bin/ssh md5 /usr/sbin/sshd ssh -V sw_vers
codesign -d -vv
em ambos e retorna (entre outros) Authority=Software Signing Authority=Apple Code Signing Certification Authority Authority=Apple Root CA
então eu acho que tudo deve ficar bem (ou então a CA da Apple teria que ser comprometida), mas ainda é estranho que sua soma de md5 falhe ...
md5 /sbin/md5
retorna 94dd237389823d38fc4183113099fb5a
?
codesign -d -vv
tanto no laptop quanto em outra máquina 10.6.6, retorna os mesmos valores para cada uma das linhas. Além disso MD5 (/sbin/md5) = 94dd237389823d38fc4183113099fb5a
para ambas as máquinas. Finalmente, shasum
é o mesmo para ambas as máquinas.
codesign -vvv
em ambos)