înregistrare Logare
Puncte:1
Peter avatar Server

Cheile SSH au fost modificate/regenerate pe serverul cloud Hetzner, am primit alerta „identificarea gazdei la distanță schimbată”

drapel cn
Peter

Am un mic server cloud pe Hetzner pe care îl pornesc zilnic (folosind API-ul Hetzner) de pe serverul meu de acasă la ora 3 dimineața și apoi mă conectez acolo prin SSH, lucrez și apoi îl închid (totul este un proces automat)

Totul a fost în regulă luni de zile, nu m-am atins nici pe serverul meu de acasă, nici pe serverul cloud, dar astăzi am primit un e-mail cu avertisment

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
@ AVERTISMENT: IDENTIFICAREA GAZDEI LA DISTANȚĂ S-A SCHIMBAT! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
ESTE POSIBIL CA CINEVA SĂ FACĂ CEVA RĂUS!
Cineva s-ar putea să te asculte cu urechea chiar acum (atac de om-in-the-middle)!
De asemenea, este posibil ca o cheie gazdă tocmai să fi fost schimbată.
Amprenta pentru cheia ECDSA trimisă de gazda la distanță este

A fost foarte suspect, deoarece nu au existat modificări la serverele mele, așa că m-am autentificat și am verificat /var/log/auth.log :

10 decembrie 03:02:19 htznr useradd[1007]: grup nou: nume=ubuntu, GID=1001
Dec 10 03:02:19 htznr useradd[1007]: utilizator nou: name=ubuntu, UID=1001, GID=1001, home=/home/ubuntu, shell=/bin/bash
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul „adm”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul „dialout”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul „cdrom”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul „floppy”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul „sudo”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul „audio”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul „dip”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul „video”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul „plugdev”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul „lxd”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul „netdev”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul umbră „adm”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul umbră „dialout”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul de umbră „cdrom”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul de umbră „floppy”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul umbră „sudo”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul umbră „audio”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul de umbră „dip”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul umbră „video”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul umbră „plugdev”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul de umbră „lxd”
10 decembrie 03:02:19 htznr useradd[1007]: adăugați „ubuntu” la grupul umbră „netdev”
10 decembrie 03:02:19 htznr passwd[1014]: parola pentru „ubuntu” a fost schimbată de „rădăcină”
Dec 10 03:02:19 htznr systemd-logind[1057]: Scaun nou seat0.
10 decembrie 03:02:19 htznr systemd-logind[1057]: Vizionează butoanele de sistem pe /dev/input/event0 (Butonul de pornire)
10 decembrie 03:02:19 htznr systemd-logind[1057]: Vizionează butoanele de sistem pe /dev/input/event1 (tastatura AT Translated Set 2)
10 decembrie 03:02:19 htznr sshd[1094]: Serverul ascultă pe portul 222 0.0.0.0.
10 decembrie 03:02:19 htznr sshd[1094]: Serverul ascultă pe :: portul 222.

03:02:19 este momentul în care mașina a fost pornită. După cum puteți vedea, utilizatorul „ubuntu” a fost creat cu parolă.

De asemenea, mi-am dat seama că toate cheile din /etc/ssh/ au fost schimbate:

-rw------- 1 root root 672 Dec 10 03:02 ssh_host_dsa_key
-rw-r--r-- 1 root root 598 Dec 10 03:02 ssh_host_dsa_key.pub
-rw------- 1 root root 227 Dec 10 03:02 ssh_host_ecdsa_key
-rw-r--r-- 1 root root 170 Dec 10 03:02 ssh_host_ecdsa_key.pub
-rw------- 1 root root 399 Dec 10 03:02 ssh_host_ed25519_key
-rw-r--r-- 1 root root 90 Dec 10 03:02 ssh_host_ed25519_key.pub
-rw------- 1 root root 1.7K Dec 10 03:02 ssh_host_rsa_key
-rw-r--r-- 1 root root 390 Dec 10 03:02 ssh_host_rsa_key.pub

Care poate fi motivul? Mă conectez la server folosind adresa IP a lui Hetzner.

Sunt îngrijorat pentru că știu că mulți roboți încearcă să se autentifice cu nume de utilizator obișnuite precum „centos”, „ubuntu”, „fedora” etc.

Folosesc Ubuntu și am upgrade-uri nesupravegheate activate.

Aceasta este o intrare nouă în /etc/shadow

ubuntu:!:18971:0:99999:7:::
204
0 + 0
drapel in
NiKiZe
Asumați actualizări automate.
0
Răspunde
George Shuklin avatar
drapel cn
George Shuklin
verificați dacă cloud-init a fost acolo. Poate regenera cheile ssh pentru gazdă. În general, cu un hoster bun nu ar trebui să se întâmple, dar poate că au o eroare pentru metadate sau ceva de genul.
3
Răspunde
Peter avatar
drapel cn
Peter
@GeorgeShuklin da, era învechit cloud-init, l-am găsit cu ~ 30 de minute în urmă https://bugs.launchpad.net/ubuntu/+source/cloud-init/+bug/1885527
0
Răspunde
Peter avatar
drapel cn
Peter
@GeorgeShuklin pune comentariul tău ca răspuns, voi accepta asta pentru vizibilitate
0
Răspunde
Puncte:1
George Shuklin avatar Server
drapel cn
George Shuklin

După cum sugerează comentariile, răspunsul este cloud-init pachet. Este responsabil pentru reinițializarea imaginilor mașinilor virtuale, iar unul dintre pașii de inițializare este regenerarea cheilor ssh ale gazdei.

Se face o dată „pe instanță” pe baza modificării raportate a ID-ului instanței (ceea ce este „ID-ul instanței” depinde foarte mult de furnizorul de cloud sau chiar de ID-ul furnizorului „NoCloud” pentru baremetal).

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.