รายการที่ไม่คาดคิดใน Authorized_keys - เซิร์ฟเวอร์ของฉันถูกบุกรุกหรือไม่

waffl

28/11/22 14:54

ฉันเพิ่งติดตั้งเซิร์ฟเวอร์ระบบคลาวด์ตัวใหม่และติดตั้ง ดอกกุ. ฉันได้ตั้งค่าแอปง่ายๆ สองแอป แอป PHP และ Vue/สแตติก และปลั๊กอินสำหรับการเข้ารหัสลับ

ทุกอย่างเรียบร้อยดี แต่สองวันต่อมา ฉันสังเกตเห็นรายการผิดปกติสามรายการใน อนุญาต_คีย์ ไฟล์สำหรับผู้ใช้ dokku ฉันสงสัยว่าเซิร์ฟเวอร์ของฉันถูกบุกรุกหรือฉันตอบสนองมากเกินไปหรือไม่:

คีย์ถูกแก้ไข:

command="FINGERPRINT=SHA256:<redacted> NAME=\"admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no -port-forwarding ssh-rsa <รหัสผับที่แก้ไขแล้ว>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding , ไม่มีการส่งต่อพอร์ต ssh-rsa <รหัสผับที่แก้ไขแล้ว>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin2\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding ,ไม่มีการส่งต่อพอร์ต ssh-rsa <รหัสผับที่แก้ไขแล้ว> jondo@debian

ดอกกุมีอัน คำสั่ง ssh คุณสมบัติ (ลิงค์) แต่ฉันไม่เคยใช้มัน

มองไปที่ ล่าสุด และ .bash_history เผยไม่มีอะไรผิดปกติและ /var/log/auth.log เผยให้เห็นถึงความพยายามอันดุร้ายไม่รู้จบที่ฉันจินตนาการว่าเซิร์ฟเวอร์สาธารณะทั้งหมดต้องเผชิญ แต่ไม่มีการเข้าสู่ระบบที่ผิดปกติ

111

1 + 4

ลินุกซ์

การแชร์หน้าจอ

Moshe Katz

29/11/22 22:53

เอกสารประกอบของ dokku ระบุว่า: âคำเตือน: หากคุณไม่ได้ทำการติดตั้งให้เสร็จสมบูรณ์ผ่านตัวติดตั้งบนเว็บ (แม้ว่าคุณจะตั้งค่าคีย์ SSH และโฮสต์เสมือนเป็นอย่างอื่น) การติดตั้ง Dokku ของคุณจะยังคงมีความเสี่ยงที่ใครก็ตามที่ค้นพบหน้าการตั้งค่าและใส่คีย์ของพวกเขา "นี่อาจเป็นปัญหาของคุณหรือไม่?

ตอบกลับ

A.B

30/11/22 06:29

เนื้อหาปัจจุบันของ `~dokku/.sshcommand` คืออะไร?

ตอบกลับ

waffl

1/12/22 09:16

@MosheKatz - คุณพูดถูกแล้ว นั่นคือปัญหาจริงๆ - หลังจากติดตั้ง ฉันแค่เดินหน้าและทำทุกอย่างผ่าน commandline และไม่สามารถปิดกระบวนการติดตั้งเว็บได้ สิ่งนี้ถูกกล่าวถึงในเอกสารประกอบ (ให้ไว้ด้านล่างครึ่งหน้า) และสามารถตรวจสอบได้ว่าโปรแกรมติดตั้งยังคงทำงานผ่าน `ps auxf | grep dokku-installer` - บางทีคุณอาจต้องการส่งสิ่งนี้เป็นคำตอบและฉันสามารถทำเครื่องหมายว่าแก้ไขแล้ว @A.B ไม่มีไฟล์ `.sshcommand` อยู่

ตอบกลับ

A.B

1/12/22 10:03

@waffl อาจมีอันที่ถูกลบคุณควรศึกษาคำถาม/คำตอบนี้เกี่ยวกับระบบที่ถูกบุกรุก: https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server

ตอบกลับ

Score:2

Server

Moshe Katz

1/12/22 12:50

ดอกกุ เอกสาร พูดว่า:

คำเตือน: หากคุณไม่ได้ตั้งค่าให้เสร็จสมบูรณ์ผ่านโปรแกรมติดตั้งบนเว็บ (แม้ว่าคุณจะตั้งค่าคีย์ SSH และโฮสต์เสมือนเป็นอย่างอื่น) การติดตั้ง Dokku ของคุณจะยังคงมีความเสี่ยงที่ใครก็ตามที่ค้นพบหน้าการตั้งค่าและใส่คีย์ของพวกเขา

หากคุณไม่ทำเช่นนี้ บางคน (อาจใช้เครื่องสแกนอัตโนมัติ) พบลิงก์นี้และใส่รหัสของตนเอง

น่าเสียดายที่ฉันไม่รู้เกี่ยวกับ dokku มากพอที่จะบอกคุณได้ว่านั่นหมายความว่าระบบของคุณถูกบุกรุกหรือไม่ แต่ฉันก็สงสัยอย่างยิ่งว่าในกรณีนี้

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Unexpected entries in authorized_keys - is my server compromised?

TH: รายการที่ไม่คาดคิดใน Authorized_keys - เซิร์ฟเวอร์ของฉันถูกบุกรุกหรือไม่

RO: Intrări neașteptate în authorized_keys - este serverul meu compromis?

RU: Неожиданные записи в author_keys — мой сервер скомпрометирован?

VI: Các mục nhập không mong muốn trong các khóa được ủy quyền - máy chủ của tôi có bị xâm phạm không?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา