Пролом в моей машине

Следует отметить, что есть и другие добрые вещи, которые могут вызвать это ключевое изменение.

Например, большинство клиентов SSH создает кэш по именам хостов и отпечаткам пальцев. Я часто сталкиваюсь с этой проблемой в своей работе, так как в ней задействовано множество машин с одним и тем же IP-адресом (но в разных сетях), поэтому мой клиент ssh хранит только IP-адрес и отпечаток пальца и игнорирует тот факт, что он находится в другой сети, поэтому другая машина (эй, как она могла знать?). Вы получите то же самое предупреждение, если вы произвели переустановку системы (ключи обычно генерируются во время установки), или если имя хоста использовалось для обозначения другой машины, на которую вы зашли.

Когда ключ изменился, и машина осталась прежней, вы должны вспомнить, есть ли причина для этого изменения. Вы давно работали с sshd? Некоторые дистрибутивы генерируют новые ключи, если sshd переустановлен / перекомпилирован.

Если ничего из вышеперечисленного не соответствует действительности, то возможный сценарий состоит в том, что кто-то совершает атаку "человек посередине". Проще говоря, машина, которая притворяется вашим сервером, так что она может получить вашу регистрационную информацию, когда вы пытаетесь войти в систему. Чтобы осуществить это, кто-то должен будет либо подделать адрес / имя хоста вашей машины, либо контролировать один из точки передачи данных (маршрутизаторы, мосты и т. д.) между вами и вашей машиной.

Если вы попадете на компьютер (либо с помощью соответствующих переключателей командной строки на вашем ssh-клиенте, либо путем удаления ключа отключения из /home/username/.ssh/known_hosts), то мои первоначальные проверки обнаружения вторжения будут:

• find /etc/ -mtime -3 (находит любые файлы в /etc/, которые изменились за последние 3 дня. Подстройте число, чтобы оно совпадало с каждым, когда начиналась проблема)
• проверьте соответствующие журналы в /var/log (безопасные, сообщения и т. д.)
• проверьте, есть ли кто-нибудь еще вошел в вашу систему
• используйте приведенную выше команду поиска для поиска изменений в вашем web-корне, которых там быть не должно (установка бэкдора в php-скрипте - это распространенный метод получения несанкционированного доступа)

Если у вас есть физический доступ к машине, я бы включил ее клавиатуру / монитор и перезагрузился в однопользовательский режим. Это гарантирует, что вы и только вы находитесь в системе при выполнении этих проверок.

После подтверждения вторжения первым шагом является очистка системы. Поскольку в этом нет ничего важного, лучший подход - выполнить полную переустановку, так как очень трудно очистить систему, которая находилась под чьим-то контролем в течение значительного периода времени. (у них было много раз, чтобы установить множество бэкдоров, чтобы они сохранили свой несанкционированный доступ).

Вторым шагом является отслеживание того, как система была скомпрометирована в первую очередь, чтобы избежать повторения.

Я предполагаю, что вы используете Linux, если это так, первым делом следует использовать rkhunter, чтобы проверить, есть ли у вас какие-либо изменения в файлах или инфекции.