ssh probléma

Ubuntu Linux

Hello,

Belefutottam egy probléma az egyik szerverünkön. Az ssh egyik napról a másikra lehalt. Ha megpróbálom újraindítani akkor a következő hibaüzenetet kapom:

/usr/sbin/sshd: /usr/local/lib/libcrypto.so.0.9.8: no version information available (required by /usr/sbin/sshd)

Valakinek van valami ötlete rá?
Köszi szépen!
J.

  • 1682 megtekintés

( andrej_ v | 2010. 10. 25., h – 11:51 )

egy apt-get update-et nézz és nézd meg hogy létezik-e (bármilyen bugyután is hangzik) a /usr/local/lib/libcrypto.so.0.9.8

Egyébként igencsak gyanús, hacsak nem saját magad fordította SSH van a gépen, mert a /usr/lib -ben és NEM a /usr/local/lib -ben kéne laknia a fenti library-nek.

+1, ill ezt is atfuthatod, hogy minden megvan-e:
(es hogy tenyleg most hogy is van belelinkelve ez a libcrypto) 


$ ldd /usr/bin/ssh
        linux-vdso.so.1 =>  (0x00007fffe51fd000)
        libcrypto.so.0.9.8 => /usr/lib/libcrypto.so.0.9.8 (0x00007f0b7cfd9000)
        libutil.so.1 => /lib/libutil.so.1 (0x00007f0b7cdd6000)
        libz.so.1 => /usr/lib/libz.so.1 (0x00007f0b7cbbf000)
        libnsl.so.1 => /lib/libnsl.so.1 (0x00007f0b7c9a7000)
        libcrypt.so.1 => /lib/libcrypt.so.1 (0x00007f0b7c76f000)
        libresolv.so.2 => /lib/libresolv.so.2 (0x00007f0b7c55b000)
        libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0x00007f0b7c32f000)
        libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0x00007f0b7c08e000)
        libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0x00007f0b7be68000)
        libcom_err.so.2 => /lib/libcom_err.so.2 (0x00007f0b7bc65000)
        libc.so.6 => /lib/libc.so.6 (0x00007f0b7b912000)
        libdl.so.2 => /lib/libdl.so.2 (0x00007f0b7b70e000)
        libkrb5support.so.0 => /usr/lib/libkrb5support.so.0 (0x00007f0b7b506000)
        libkeyutils.so.1 => /lib/libkeyutils.so.1 (0x00007f0b7b304000)
        libpthread.so.0 => /lib/libpthread.so.0 (0x00007f0b7b0e8000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f0b7d374000)
$

szerk: hopsz: /usr/sbin/ssh? ez sem epp hetkoznapi

Megvan minden, aminek lennie kell.

$ ldd /usr/bin/ssh

Ugyanez az üzenet fogad. Sajnos most csak IP console-n keresztül érem el, így nem igazán tudom kimásolni belőle az üzenetet, de az biztos hogy a /usr/sbin/sshd -t írja.

A szerver bérelt, előre telepítve kaptuk, így nem tudom, hogy hogy az ssh milyen úton és módon lett rá feltelepítve.

valoban ;]

akkor ez: 


$ ldd /usr/sbin/sshd
        linux-vdso.so.1 =>  (0x00007fff16dd3000)
        libwrap.so.0 => /lib/libwrap.so.0 (0x00007fdfa98dd000)
        libpam.so.0 => /lib/libpam.so.0 (0x00007fdfa96d2000)
        libdl.so.2 => /lib/libdl.so.2 (0x00007fdfa94ce000)
        libselinux.so.1 => /lib/libselinux.so.1 (0x00007fdfa92b2000)
        libcrypto.so.0.9.8 => /usr/lib/libcrypto.so.0.9.8 (0x00007fdfa8f17000)
        libutil.so.1 => /lib/libutil.so.1 (0x00007fdfa8d14000)
        libz.so.1 => /usr/lib/libz.so.1 (0x00007fdfa8afd000)
        libnsl.so.1 => /lib/libnsl.so.1 (0x00007fdfa88e5000)
        libcrypt.so.1 => /lib/libcrypt.so.1 (0x00007fdfa86ad000)
        libresolv.so.2 => /lib/libresolv.so.2 (0x00007fdfa8499000)
        libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0x00007fdfa826d000)
        libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0x00007fdfa7fcc000)
        libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0x00007fdfa7da6000)
        libcom_err.so.2 => /lib/libcom_err.so.2 (0x00007fdfa7ba3000)
        libc.so.6 => /lib/libc.so.6 (0x00007fdfa7850000)
        /lib64/ld-linux-x86-64.so.2 (0x00007fdfa9ae6000)
        libkrb5support.so.0 => /usr/lib/libkrb5support.so.0 (0x00007fdfa7648000)
        libkeyutils.so.1 => /lib/libkeyutils.so.1 (0x00007fdfa7446000)
        libpthread.so.0 => /lib/libpthread.so.0 (0x00007fdfa722a000)
$

"ssh-val készen kaptuk (bérelt szerver) így nincs információm, hogy hogyan lett telepítve."

Ha biztosan nem ti nyomtatok fel forrásból/tarból egy sshd-t, és kizrható a betörés (persze jó kérdés, hogy mikor zárható ki) itt az idő, hogy megkérdezzétek a telepítőt, hogy mit és miért csinált oda nektek...

( egeresz | 2010. 10. 25., h – 12:26 )

Az ssh egyik napról a másikra

valoszinubb, hogy megtortek, mint hogy nem. Csak elszurtak a rootkitet.

Azt hogy amivel megtörték a gépet, ha tényleg ez történt persze, hibás és ezért nem tud elindulni az SSH.

Megnézted már hogy az sshd binárisod mikori dátumú (stat-al, ne sima ls-el) és hogy a /usr/local/bin és a /usr/bin jellegű helyeken a libcrpyto milyen és mikori?

rootkitnek nevezzuk azokat a szoftverkornyezeteket, amelyek elrejtik a betorest, illetve tagabb ertelemben, amit maga utan hagy a betoro. Az sshd lecserelese egy modositott verziora egy trivialis otlet arra vonatkozoan, hogy
- belepesi lehetoseget biztositson (backdoor)
- loggolja ki milyen jelszoval probalt belepni

egy nagyobb rootkitnek siman a resze lehet ez. rootkit resze meg a ps/ls/top parancsok lecserelese, hogy a rootkithez tartozo processzek, file-ok ne latszodjanak a gyanutlan rgazda szamara.

megvaltozott az SSHD? (vagy valamlelyik alresze) - meg
olyan file-ra hivatkzoik, ami egy debian/ubuntu rendszeren nincs (/usr/local) - igen

ez erosen egy elszurt rootkitre hajaz

Egyelőre passz, hogy mehettek be. Nem volt egyszerű jelszó, tizenkét karakter hosszú (vegyesen kis és nagybetűk, számok).


stat /usr/local/lib/libcrypto.so.0.9.8
File: '/usr/local/lib/libcrypto.so.0.9.8'
Size: 1808693 Blocks: 3536 IO Block: 4096 regular file
Device: fc02h/64514d Inode: 61603 Links: 1
Access: (0555/-r-xr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2010-10-24 23:22:51.731867617 +0200
Modify: 2010-10-24 23:22:24.601866957 +0200
Change: 2010-10-24 23:22:51.611868767 +0200

egy strings erdekelne, mi?
:-)
szerintem az se erdemes megcsinalni, hogy tenyleg megtortek-e, vagy sem. Egy clean reinstall lenyegesen hamarabb van meg, minthogy kello ovatossaggal korbenezel a rendszeren. Elesen uzemeltetni meg mar gyanu eseten se erdemes, tehat downtime mindenkepp van.

Kiveve persze, ha vadaszol, es szeretned elkapni a tamadot. (vissza akar jonni, ha mar egyszer felrakott egy rootkitet). Ki ki azzal termeli meg a napi adrenalinravalot, amivel akarja, vadaszni mindig lehet.