нарушение на моей машине [дубликат]

Я предполагаю, что вы используете Linux, если да, то первым делом нужно использовать rkhunter , чтобы проверить, есть ли у вас какие-либо изменения файла или заражения.

Следует отметить, что есть и другие неопасные вещи, которые могут вызвать это изменение ключа.

Например, большинство клиентов SSH строят кэш по именам хостов и отпечаткам пальцев. Я часто сталкиваюсь с этой проблемой в своей работе, поскольку она включает в себя множество машин на одном IP (но в разных сетях), поэтому мой ssh-клиент хранит только IP и отпечаток пальца и игнорирует тот факт, что он находится в другой сети, поэтому другая машина (эй, как она могла знать?). Вы получите такое же предупреждение, если выполнили переустановку системы (ключи обычно генерируются во время установки) или если имя хоста используется для обозначения другой машины, на которую вы зашли.

Когда ключ был изменился, и машина такая же, вам стоит вспомнить, есть ли причина для этого изменения. Вы в последнее время возились с sshd? Некоторые дистрибутивы генерируют новые ключи, если sshd переустанавливается / перекомпилируется.

Если ничего из вышеперечисленного не происходит, то возможный сценарий состоит в том, что кто-то выполняет атаку типа «злоумышленник в середине». Проще говоря, машина, которая притворяется вашим сервером, чтобы она могла получить информацию о вашем входе в систему, когда вы пытаетесь войти в систему. Чтобы осуществить это, кто-то должен был бы либо подменить адрес / имя хоста вашей машины, либо управлять одним из точки транзита данных (маршрутизаторы, мосты и т. д.) между вами и вашей машиной.

Если вы попадаете в машину (либо с помощью соответствующей командной строки, переключаясь на ваш ssh-клиент, либо удаляя нарушающий ключ из / home / username /. ssh / known_hosts), то мои первоначальные проверки обнаружения вторжений будут следующими:

• find / etc / -mtime -3 (находит любые файлы в / etc /, которые изменились за последние 3 дня .. настройте номер, чтобы убедиться, что он совпадает с каждым моментом возникновения проблемы)
• проверьте соответствующие журналы в / var / log (безопасный, сообщения и т. д.)
• проверьте, есть ли еще кто-нибудь, вошедший в вашу систему
• используйте указанную выше команду find для поиска изменений в вашем корневом веб-каталоге, которых там не должно быть (установка бэкдора в php-скрипте - распространенный метод получения несанкционированного доступа)

Если у вас есть физический доступ к машине, Я входил на его клавиатуру / монитор и перезагружался в однопользовательском режиме. Это гарантирует, что вы и только вы будете в системе при выполнении этих проверок.

После подтверждения вторжения первым шагом является очистка системы. Поскольку в нем нет ничего важного, лучший подход - выполнить полную переустановку, поскольку это ' Очень сложно очистить систему, которая находилась под чьим-то контролем в течение значительного периода времени. (у них было много раз, чтобы установить множество бэкдоров, чтобы убедиться, что они сохраняют свой несанкционированный доступ).

Второй шаг - отследить, как система была взломана в первую очередь, чтобы гарантировать, что это больше не повторится .