înregistrare Logare
Puncte:3
avatar Server

Intrări neașteptate în authorized_keys - este serverul meu compromis?

drapel cn
waffl

Am implementat recent și am instalat un nou server cloud dokku. Am configurat două aplicații simple, o aplicație PHP și Vue/static și pluginul pentru letsencrypt.

Totul a fost bine, dar două zile mai târziu am observat trei intrări neobișnuite în chei_autorizate fișier pentru utilizatorul dokku. Mă întreb dacă serverul meu a fost cumva compromis sau dacă reacționez exagerat:

Cheile au fost redactate:

command="FINGERPRINT=SHA256:<redacted> NAME=\"admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,nu -port-forwarding ssh-rsa <cheie pub redacted>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding ,no-port-forwarding ssh-rsa <cheie pub redacted>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin2\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding ,no-port-forwarding ssh-rsa <cheie pub redacted> jondo@debian

Dokku are un sshcommand caracteristică (legătură) dar nu l-am folosit niciodată.

Uitandu-ma la ultimul și .bash_history nu dezvăluie nimic neobișnuit și /var/log/auth.log dezvăluie încercările nesfârșite de forță brută cu care îmi imaginez că se confruntă toate serverele publice, dar fără autentificări neobișnuite.

111
1 + 4
drapel pl
Moshe Katz
Documentația dokku spune: âAvertisment: dacă nu finalizați configurarea prin intermediul programului de instalare web (chiar dacă configurați chei SSH și gazde virtuale altfel), instalarea Dokku va rămâne vulnerabilă la oricine va găsi pagina de configurare și va introduce cheia. .” Ar putea fi aceasta problema ta?
2
Răspunde
A.B avatar
drapel cl
A.B
Deci, care este conținutul actual al lui `~dokku/.sshcommand`?
0
Răspunde
drapel cn
waffl
@MosheKatz - aveți exact dreptate, tocmai asta a fost problema - după instalare, pur și simplu am continuat și am făcut totul prin linia de comandă și nu am reușit să închid procesul de instalare web. Acest lucru este într-adevăr menționat în documentație (acordat sub fold) și se poate verifica dacă programul de instalare mai rulează prin `ps auxf | grep dokku-installer` - Poate doriți să trimiteți acest lucru ca răspuns și îl pot marca ca rezolvat. @A.B nu era prezent niciun fișier `.sshcommand`.
1
Răspunde
A.B avatar
drapel cl
A.B
@waffl ar fi putut fi unul care a fost șters.Ar trebui să consultați acest Q/A despre sistemele compromise: https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server
0
Răspunde
Puncte:2
avatar Server
drapel pl
Moshe Katz

Dokku documentație spune:

Avertisment: Dacă nu finalizați configurarea prin intermediul programului de instalare web (chiar dacă configurați chei SSH și gazde virtuale altfel), instalarea dvs. Dokku va rămâne vulnerabilă la oricine va găsi pagina de configurare și va introduce cheia.

Dacă nu ați făcut acest lucru, cineva (probabil folosind un scanner automat) a găsit acest link și și-a pus propriile chei.

Din păcate, nu știu suficient despre dokku pentru a vă spune dacă acest lucru înseamnă cu siguranță că sistemul dvs. este compromis, dar cu siguranță aș fi foarte suspicios că acesta este cazul.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.