Возможный дубликат:
Мой сервер был взломан в АВАРИИ
Внезапно ssh заявляет, что ключ на моем сервере изменен.
Даже freenx больше не принимает мои соединения из-за измененного ключа.
Во всяком случае, ничего важного.
Но как мне проверить, было ли оно взломано?
Спасибо
Следует отметить, что есть и другие неопасные вещи, которые могут вызвать это изменение ключа.
Например, большинство клиентов SSH строят кеш по именам хостов и отпечаткам пальцев. Я часто сталкиваюсь с этой проблемой в своей работе, поскольку она включает в себя множество машин на одном IP (но в разных сетях), поэтому мой ssh-клиент хранит только IP и отпечаток пальца и игнорирует тот факт, что он находится в другой сети, поэтому другая машина (эй, как она могла знать?). Вы получите такое же предупреждение, если выполнили переустановку системы (ключи обычно генерируются во время установки) или если имя хоста используется для ссылки на другую машину, на которую вы зашли.
Когда ключ изменился, а машина осталась прежней, вы должны подумать, есть ли причина для этого изменения. Вы в последнее время возились с sshd? Некоторые дистрибутивы генерируют новые ключи при переустановке / перекомпиляции sshd.
Если ничего из вышеперечисленного не соответствует действительности, то возможный сценарий заключается в том, что кто-то проводит атаку типа «человек посередине». Проще говоря, машина, которая притворяется вашим сервером, чтобы она могла получить информацию о вашем входе в систему, когда вы пытаетесь войти в систему. Чтобы осуществить это, кому-то придется либо подменить адрес / имя хоста вашей машины, либо управлять одним из точки передачи данных (маршрутизаторы, мосты и т. д.) между вами и вашей машиной.
Если вы войдете в машину (либо с помощью соответствующих переключателей командной строки на ваш ssh-клиент, либо путем удаления ключа нарушения из /home/username/.ssh/known_hosts), то мои первоначальные проверки обнаружения вторжения будут:
Если у вас есть физический доступ к машине, я бы взял ее клавиатуру / монитор и перезагрузился в однопользовательском режиме. Это гарантирует, что вы и только вы будете в системе при выполнении этих проверок.
После подтверждения вторжения первым делом необходимо очистить систему. Поскольку в нем нет ничего важного, лучший подход - выполнить полную переустановку, поскольку очень сложно очистить систему, которая находилась под чьим-то контролем в течение значительного периода времени. (у них было много раз, чтобы установить множество бэкдоров, чтобы убедиться, что они сохраняют свой несанкционированный доступ).
Второй шаг - отследить, как система была взломана, чтобы убедиться, что это больше не повторится.
Я предполагаю, что вы используете Linux, если да, то первым делом нужно использовать Rkhunter проверьте, есть ли у вас какие-либо изменения файла или инфекции.