violação na minha máquina [duplicado]

2

De repente, o ssh afirma que a chave no meu servidor foi alterada.

Até mesmo a freenx não aceita mais minhas conexões por causa da chave alterada.

Nada importante, afinal.

Mas como posso verificar se foi violado?

Obrigado

    
por user1632812 28.10.2012 / 11:12

2 respostas

6

Deve-se notar que existem outras coisas benignas que podem causar essa mudança de chave.

Por exemplo, a maioria dos clientes SSH cria um cache sobre nomes de host e impressões digitais. Eu tenho esse problema muito no meu trabalho, pois envolve um monte de máquinas no mesmo IP (mas em redes diferentes), assim meu cliente ssh armazena apenas o IP e impressão digital, e ignora o fato de que está em uma rede diferente, assim uma máquina diferente (ei, como poderia saber?). Você receberia o mesmo aviso se tiver feito uma reinstalação do sistema (as chaves são normalmente geradas durante a instalação) ou se o nome do host usado para se referir a uma máquina diferente na qual você utilizou.

Quando a chave mudou e a máquina é a mesma, você deve pensar se há algum motivo para essa alteração. Você tem mexido com o sshd ultimamente? Algumas distros geram novas chaves se o sshd for reinstalado / recompilado.

Se nenhum dos itens acima for o caso, um possível cenário é que alguém esteja fazendo um ataque man-in-the-middle. Em outras palavras, uma máquina que finge ser seu servidor, para que ele possa obter suas informações de login quando você tenta efetuar login. Para obter isso, alguém teria que falsificar o endereço / nome de host de suas máquinas ou controlar um dos pontos de trânsito de dados (roteadores, pontes, etc) entre você e sua máquina.

Se você entrar na máquina (por meio da linha de comando apropriada muda para o seu cliente ssh, ou removendo a chave de desligamento de /home/username/.ssh/known_hosts), então minhas verificações iniciais de detecção de intrusão seriam:

  • localize / etc / -mtime -3 (localiza qualquer arquivo em / etc / que tenha sido alterado nos últimos três dias. Ajuste o número para garantir que ele se sobreponha sempre que o problema for iniciado)
  • verifique os logs apropriados em / var / log (seguro, mensagens, etc.)
  • verifique se há mais alguém conectado ao seu sistema
  • use o comando find listado acima para procurar alterações em sua raiz da web que não deveriam estar lá (instalar um backdoor em um script php é um método comum de obter acesso não autorizado)

Se você tiver acesso físico à máquina, eu entraria em seu teclado / monitor e reinicializaria no modo de usuário único. Isso garante que você e apenas você esteja no sistema enquanto faz essas verificações.

Após confirmar uma intrusão, o primeiro passo é limpar o sistema. Como não há nada de importante nisso, a melhor abordagem é fazer uma reinstalação completa, pois é muito difícil eliminar um sistema que está sob controle de alguém por um período significativo de tempo. (Eles tiveram muitas vezes para instalar um monte de backdoors para se certificar de que eles mantêm o acesso não autorizado).

O segundo passo é rastrear como o sistema foi comprometido em primeiro lugar para garantir que isso não aconteça novamente.

    
por 28.10.2012 / 14:51
0

Supondo que você esteja usando o linux, se for o caso, o primeiro passo é usar o rkhunter para verificar se você tem alguma alteração no arquivo ou infecções.

    
por 28.10.2012 / 11:21