Score:3

รายการที่ไม่คาดคิดใน Authorized_keys - เซิร์ฟเวอร์ของฉันถูกบุกรุกหรือไม่

ธง cn

ฉันเพิ่งติดตั้งเซิร์ฟเวอร์ระบบคลาวด์ตัวใหม่และติดตั้ง ดอกกุ. ฉันได้ตั้งค่าแอปง่ายๆ สองแอป แอป PHP และ Vue/สแตติก และปลั๊กอินสำหรับการเข้ารหัสลับ

ทุกอย่างเรียบร้อยดี แต่สองวันต่อมา ฉันสังเกตเห็นรายการผิดปกติสามรายการใน อนุญาต_คีย์ ไฟล์สำหรับผู้ใช้ dokku ฉันสงสัยว่าเซิร์ฟเวอร์ของฉันถูกบุกรุกหรือฉันตอบสนองมากเกินไปหรือไม่:

คีย์ถูกแก้ไข:

command="FINGERPRINT=SHA256:<redacted> NAME=\"admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no -port-forwarding ssh-rsa <รหัสผับที่แก้ไขแล้ว>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding , ไม่มีการส่งต่อพอร์ต ssh-rsa <รหัสผับที่แก้ไขแล้ว>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin2\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding ,ไม่มีการส่งต่อพอร์ต ssh-rsa <รหัสผับที่แก้ไขแล้ว> jondo@debian

ดอกกุมีอัน คำสั่ง ssh คุณสมบัติ (ลิงค์) แต่ฉันไม่เคยใช้มัน

มองไปที่ ล่าสุด และ .bash_history เผยไม่มีอะไรผิดปกติและ /var/log/auth.log เผยให้เห็นถึงความพยายามอันดุร้ายไม่รู้จบที่ฉันจินตนาการว่าเซิร์ฟเวอร์สาธารณะทั้งหมดต้องเผชิญ แต่ไม่มีการเข้าสู่ระบบที่ผิดปกติ

pl flag
เอกสารประกอบของ dokku ระบุว่า: âคำเตือน: หากคุณไม่ได้ทำการติดตั้งให้เสร็จสมบูรณ์ผ่านตัวติดตั้งบนเว็บ (แม้ว่าคุณจะตั้งค่าคีย์ SSH และโฮสต์เสมือนเป็นอย่างอื่น) การติดตั้ง Dokku ของคุณจะยังคงมีความเสี่ยงที่ใครก็ตามที่ค้นพบหน้าการตั้งค่าและใส่คีย์ของพวกเขา "นี่อาจเป็นปัญหาของคุณหรือไม่?
A.B avatar
cl flag
A.B
เนื้อหาปัจจุบันของ `~dokku/.sshcommand` คืออะไร?
cn flag
@MosheKatz - คุณพูดถูกแล้ว นั่นคือปัญหาจริงๆ - หลังจากติดตั้ง ฉันแค่เดินหน้าและทำทุกอย่างผ่าน commandline และไม่สามารถปิดกระบวนการติดตั้งเว็บได้ สิ่งนี้ถูกกล่าวถึงในเอกสารประกอบ (ให้ไว้ด้านล่างครึ่งหน้า) และสามารถตรวจสอบได้ว่าโปรแกรมติดตั้งยังคงทำงานผ่าน `ps auxf | grep dokku-installer` - บางทีคุณอาจต้องการส่งสิ่งนี้เป็นคำตอบและฉันสามารถทำเครื่องหมายว่าแก้ไขแล้ว @A.B ไม่มีไฟล์ `.sshcommand` อยู่
A.B avatar
cl flag
A.B
@waffl อาจมีอันที่ถูกลบคุณควรศึกษาคำถาม/คำตอบนี้เกี่ยวกับระบบที่ถูกบุกรุก: https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server
Score:2
ธง pl

ดอกกุ เอกสาร พูดว่า:

คำเตือน: หากคุณไม่ได้ตั้งค่าให้เสร็จสมบูรณ์ผ่านโปรแกรมติดตั้งบนเว็บ (แม้ว่าคุณจะตั้งค่าคีย์ SSH และโฮสต์เสมือนเป็นอย่างอื่น) การติดตั้ง Dokku ของคุณจะยังคงมีความเสี่ยงที่ใครก็ตามที่ค้นพบหน้าการตั้งค่าและใส่คีย์ของพวกเขา

หากคุณไม่ทำเช่นนี้ บางคน (อาจใช้เครื่องสแกนอัตโนมัติ) พบลิงก์นี้และใส่รหัสของตนเอง

น่าเสียดายที่ฉันไม่รู้เกี่ยวกับ dokku มากพอที่จะบอกคุณได้ว่านั่นหมายความว่าระบบของคุณถูกบุกรุกหรือไม่ แต่ฉันก็สงสัยอย่างยิ่งว่าในกรณีนี้

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา