/usr/bin/ssh y /usr/sbin/sshd no se pueden mover para actualizar openssh-server y openssh-client debido a un atributo inmutable

tag-icon tag-icon ubuntu ssh security software-updates xattr
/usr/bin/ssh y /usr/sbin/sshd no se pueden mover para actualizar openssh-server y openssh-client debido a un atributo inmutable

Ubuntu Server no se puede actualizar porque dice que el openssh-sftp-serverpaquete tiene dependencias no satisfechas

The following packages have unmet dependencies:
 openssh-sftp-server : Depends: openssh-client (= 1:8.2p1-4ubuntu0.2) but 1:8.2p1-4ubuntu0.1 is installed

Cuando intento utilizar apt --fix-broken installpara instalar lo que falta, recibo el siguiente resultado:

...
dpkg: error processing archive /var/cache/apt/archives/openssh-server_1%3a8.2p1-4ubuntu0.2_amd64.deb (--unpack):
 unable to make backup link of './usr/sbin/sshd' before installing new version: Operation not permitted
...
dpkg: error processing archive /var/cache/apt/archives/openssh-client_1%3a8.2p1-4ubuntu0.2_amd64.deb (--unpack):
 unable to make backup link of './usr/bin/ssh' before installing new version: Operation not permitted
...

Investigando encontré que ambos archivos tienen el atributo inmutable.

$:~# lsattr /usr/bin/ssh
----i---------e----- /usr/bin/ssh
$:~# lsattr /usr/sbin/sshd
----i---------e----- /usr/sbin/sshd

Cada vez que intento cambiar el atributo de '/usr/bin/ssh' o '/usr/sbin/sshd' con el comando chattr -i /usr/bin/ssho chattr -i /usr/sbin/sshdse generan varios procesos ... chattr +i /usr/bin/chattr ... /usr/bin/ssh /usr/sbin/sshd(como se puede ver en la imagen a continuación).

procesos chattr generados

El proceso también cambia los atributos de los siguientes archivos.

----i---------e----- /usr/share/doc/libbasechattr.0.so.2
----i---------e----- /usr/share/doc/libchattr-1.0.so
----i---------e----- /usr/bin/chattr

No encuentro información en la Web sobre los términos libbasechattry libchattr.

Encontré el mismo comportamiento en dos máquinas no relacionadas que se encuentran en sitios diferentes y no se comunican directamente.

Detalles del sistema:

  • Servidor Ubuntu 20.04.02 LTS
  • Kernel Linux 5.4.0-66-generic #74-Ubuntu SMP miércoles 27 de enero 22:54:38 UTC 2021 x86_64
  • OpenSSH_8.2p1, OpenSSL 1.1.1f 31 de marzo de 2020
  • El sistema de archivos es ext4 en una máquina y btrfs en la otra.

¿Alguien ha experimentado esto antes? ¿Es esto unbichoo unataque?

Respuesta1

No hay razón para tener bibliotecas /usr/share/docy, como usted señala, htopno se hace referencia a las "bibliotecas" (que probablemente no sean bibliotecas, dado el comando que se muestra en su captura de pantalla) en ninguna parte. Es muy probable que se trate de un ataque.

Veresta respuestay los enlaces que contiene para obtener detalles sobre lo que debe hacer ahora.

información relacionada