Это похоже на Ваш /usr/sbin/sshd
двоичный файл был перезаписан.
Это могло означать, что у Вас было нарушение защиты, или возможно кто-то просто скомпилировал версию локально, и версия Ubuntu была перезаписана.
1:4.7p1-8ubuntu1.2
(x86) версия openssh-сервера определенно определенно связан против libpam. Возможно, что поддержка pam была упущена из версии на 64 бита, но это кажется маловероятным.
Я попытался бы переустановить openssh-сервер:
# First back up the current binary
$ sudo cp /usr/sbin/sshd /root/sshd.bak
# reinstall the Ubuntu version
$ sudo apt-get install --reinstall openssh-server
# compare the two versions
$ sudo sha1sum /usr/sbin/sshd /root/sshd.bak
# In my case, they match:
# 8a3ccd5242380674bc45b887286faa3abb51acdb /usr/sbin/sshd
# 8a3ccd5242380674bc45b887286faa3abb51acdb /root/sshd.bak
Если Ваш не соответствуйте друг другу (не мой), существует определенно что-то подозрительное продолжение, и действительно необходимо выяснить где та версия sshd
прибыл из.
Если они действительно соответствуют, то я, вероятно, неправ, и это - ошибка в той версии openssh-сервера для 64-разрядной Ubuntu.
Делает /etc/pam.d/sshd
существовать? Это - часть openssh-сервера.
Based on the information provided in the question, it looks like your sshd overwriting may not be due to a system compromise, but due to something more benign like a sysadmin trying to change the standard ssh. The reason I suspect this is some admin action, is that the system also has this non-standard ssh package installed:
quest-openssh
.
You may run:
dpkg-query -L quest-openssh | grep sshd
and see whether this package contains a file /usr/bin/sshd
which has overwritten your openssh server (according to Thedward, and also by my verification, quest openssh installs under /opt, but there's a (low) chance that it was configured differently). In any case, you should ask your sysadmin if he was trying to replace sshd
, by what, how, and why.
To sum up my thinking: yes, your sshd
has definitely been overwritten, but I think it is a bit hasty to conclude that your system was definitely compromised.
Lastly: how to fix it? Remove the quest-openssh
package, reinstall the standard openssh, and ldap-auth-client
which uses libpam-ldap
support for the standard openssh. Generally, on a debian/ubuntu based system, there's rarely a need to install non-standard, or non-free commercial packages to get open/standard functionality. You can find more information on how to set-up openssh
PAM for LDAP here: http://wiki.linuxquestions.org/wiki/Pam_ldap