บรรจวบ เข้าสู่ระบบ
Score:1
Peter avatar Server

คีย์ SSH ถูกเปลี่ยน/สร้างใหม่บนเซิร์ฟเวอร์คลาวด์ Hetzner ฉันได้รับการแจ้งเตือน "การระบุโฮสต์ระยะไกลเปลี่ยนไป"

ธง cn
Peter

ฉันมีเซิร์ฟเวอร์คลาวด์ขนาดเล็กบน Hetzner ที่ฉันเปิดใช้งานทุกวัน (โดยใช้ Hetzner API) จากเซิร์ฟเวอร์ที่บ้านของฉันตอนตี 3 จากนั้นฉันก็ลงชื่อเข้าใช้ที่นั่นผ่าน SSH ทำงานบางอย่าง จากนั้นฉันก็ปิดมัน (เป็นกระบวนการอัตโนมัติทั้งหมด)

ทุกอย่างปกติดีมาหลายเดือนแล้ว ฉันไม่ได้แตะโฮมเซิร์ฟเวอร์หรือเซิร์ฟเวอร์คลาวด์เลย แต่วันนี้ฉันได้รับอีเมลพร้อมคำเตือน

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
@ คำเตือน: การระบุโฮสต์ระยะไกลมีการเปลี่ยนแปลง! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
เป็นไปได้ว่าบางคนกำลังทำสิ่งที่น่ารังเกียจ!
ตอนนี้อาจมีคนแอบฟังคุณอยู่ (การโจมตีแบบคนตรงกลาง)!
อาจเป็นไปได้ว่าเพิ่งเปลี่ยนรหัสโฮสต์
ลายนิ้วมือสำหรับคีย์ ECDSA ที่ส่งโดยรีโมตโฮสต์คือ

มันน่าสงสัยมากเนื่องจากไม่มีการเปลี่ยนแปลงกับเซิร์ฟเวอร์ของฉัน ดังนั้นฉันจึงเข้าสู่ระบบและตรวจสอบ /var/log/auth.log :

10 ธันวาคม 03:02:19 htznr useradd[1007]: กลุ่มใหม่: name=ubuntu, GID=1001
10 ธันวาคม 03:02:19 htznr useradd[1007]: ผู้ใช้ใหม่: name=ubuntu, UID=1001, GID=1001, home=/home/ubuntu, shell=/bin/bash
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ในกลุ่ม 'adm'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ในกลุ่ม 'dialout'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ลงในกลุ่ม 'cdrom'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ลงในกลุ่ม 'floppy'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ในกลุ่ม 'sudo'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ลงในกลุ่ม 'audio'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ลงในกลุ่ม 'dip'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ลงในกลุ่ม 'วิดีโอ'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ในกลุ่ม 'plugdev'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ในกลุ่ม 'lxd'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ในกลุ่ม 'netdev'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ในกลุ่มเงา 'adm'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ในกลุ่มเงา 'dialout'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ลงในกลุ่มเงา 'cdrom'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ลงในกลุ่มเงา 'floppy'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ลงในกลุ่มเงา 'sudo'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ในกลุ่มเงา 'audio'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ลงในกลุ่มเงา 'dip'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ในกลุ่มเงา 'วิดีโอ'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ลงในกลุ่มเงา 'plugdev'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ลงในกลุ่มเงา 'lxd'
10 ธันวาคม 03:02:19 htznr useradd[1007]: เพิ่ม 'ubuntu' ลงในกลุ่มเงา 'netdev'
10 ธันวาคม 03:02:19 htznr passwd[1014]: รหัสผ่านสำหรับ 'ubuntu' เปลี่ยนโดย 'root'
10 ธ.ค. 03:02:19 htznr systemd-logind[1057]: เบาะนั่งใหม่0.
10 ธันวาคม 03:02:19 htznr systemd-logind[1057]: ดูปุ่มระบบบน /dev/input/event0 (ปุ่มเปิดปิด)
10 ธันวาคม 03:02:19 htznr systemd-logind[1057]: การดูปุ่มระบบบน /dev/input/event1 (แป้นพิมพ์ AT Translated Set 2)
10 ธันวาคม 03:02:19 htznr sshd[1094]: เซิร์ฟเวอร์กำลังฟัง 0.0.0.0 พอร์ต 222
10 ธันวาคม 03:02:19 htznr sshd[1094]: เซิร์ฟเวอร์กำลังฟังบน :: พอร์ต 222

03:02:19 คือเมื่อเปิดเครื่อง อย่างที่คุณเห็นผู้ใช้ 'ubuntu' ถูกสร้างขึ้นด้วยรหัสผ่าน

ฉันยังรู้ว่าคีย์ทั้งหมดใน /etc/ssh/ เปลี่ยนไปแล้ว:

-rw------- 1 รูทรูท 672 10 ธ.ค. 03:02 ssh_host_dsa_key
-rw-r--r-- 1 รูทรูท 598 10 ธันวาคม 03:02 ssh_host_dsa_key.pub
-rw------- 1 รูทรูท 227 ธันวาคม 10 03:02 ssh_host_ecdsa_key
-rw-r--r-- 1 รูทรูท 170 ธันวาคม 10 03:02 ssh_host_ecdsa_key.pub
-rw------- 1 รูทรูท 399 10 ธ.ค. 03:02 ssh_host_ed25519_key
-rw-r--r-- 1 รูทรูท 90 ธันวาคม 10 03:02 ssh_host_ed25519_key.pub
-rw------- 1 รูทรูท 1.7K 10 ธ.ค. 03:02 ssh_host_rsa_key
-rw-r--r-- 1 รูทรูท 390 10 ธ.ค. 03:02 ssh_host_rsa_key.pub

เหตุผลคืออะไร? ฉันเข้าสู่ระบบเซิร์ฟเวอร์โดยใช้ที่อยู่ IP ของ Hetzner

ฉันกังวลเพราะฉันรู้ว่าบอทจำนวนมากพยายามเข้าสู่ระบบด้วยชื่อผู้ใช้ทั่วไป เช่น 'centos', 'ubuntu', 'fedora' เป็นต้น

ฉันใช้ Ubuntu และเปิดใช้งานการอัปเกรดแบบอัตโนมัติ

นี่คือรายการใหม่ใน /etc/shadow

อูบุนตู:!:18971:0:99999:7:::
204
0 + 0
in flag
NiKiZe
ถือว่าการอัปเดตอัตโนมัติ
0
ตอบกลับ
George Shuklin avatar
cn flag
George Shuklin
ตรวจสอบว่า cloud-init อยู่ที่นั่นหรือไม่ มันสามารถสร้างคีย์ ssh ใหม่สำหรับโฮสต์ โดยทั่วไปแล้ว โฮสต์ที่ดีไม่ควรเกิดขึ้น แต่อาจมีข้อบกพร่องสำหรับข้อมูลเมตาหรืออะไรทำนองนั้น
3
ตอบกลับ
Peter avatar
cn flag
Peter
@GeorgeShuklin ใช่ มันเป็น cloud-init ที่ล้าสมัย ฉันพบเมื่อประมาณ 30 นาทีที่แล้ว https://bugs.launchpad.net/ubuntu/+source/cloud-init/+bug/1885527
0
ตอบกลับ
Peter avatar
cn flag
Peter
@GeorgeShuklin ไปใส่ความคิดเห็นของคุณเป็นคำตอบ ฉันจะยอมรับสิ่งนี้เพื่อให้มองเห็นได้
0
ตอบกลับ
Score:1
George Shuklin avatar Server
ธง cn
George Shuklin

ตามที่ความคิดเห็นแนะนำคำตอบคือ cloud-init บรรจุุภัณฑ์. มีหน้าที่รับผิดชอบในการเริ่มต้นอิมเมจของเครื่องเสมือนอีกครั้ง และหนึ่งในขั้นตอนสำหรับการเริ่มต้นคือการสร้างคีย์ ssh ของโฮสต์ใหม่

'ต่ออินสแตนซ์' หนึ่งครั้งตามการเปลี่ยนแปลงที่รายงานใน ID อินสแตนซ์ ('Instance ID' คืออะไรนั้นขึ้นอยู่กับผู้ให้บริการคลาวด์เป็นอย่างมาก หรือแม้แต่ ID บนผู้ให้บริการ "NoCloud" สำหรับ Baremetal)

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา