Мой сервер скомпрометирован, и когда я подключусь к нему, я получаю " WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!", Я знаю, это потому, что отпечаток SHA256 изменен, и вы можете увидеть новый с помощью команды openssl, но я не знаю, откуда я могу проверить, когда он изменился? а также я не знаю, как вы (или хакер) можете это изменить? или что случилось, что это было изменено.
Пожалуйста, не рекомендуйте мне отключать его от сети и т. Д., Поскольку я уже сделал это, и я просто хочу знать, когда и как это произошло.
но я не знаю, откуда я могу проверить, когда оно изменилось?
Что ж, для начала я бы посмотрел на временные метки файлов (/etc/ssh/ssh_host*), хотя это ненадежный способ узнать, когда файл был изменен. Однако это может дать вам начало. Чтобы узнать окончательно, вам нужно просмотреть свои резервные копии и узнать, когда файл изменился.
а также я не знаю, как вы (или хакер) можете это изменить?
Просто удалив и заново создав ключи хоста ssh. В системах на базе Debian ключи можно восстановить, удалив их и запустив dpkg-reconfigure openssh-server.
Пожалуйста, не рекомендуйте мне отключать его от сети и т. Д., Поскольку я уже сделал это, и я просто хочу знать, когда и как это произошло.
Ну, вы к нему подключились по SSH, так что он все еще в сети, а?