Отпечаток SHA256 изменен, как проверить, когда это произошло?
Мой сервер взломан, и когда По ssh получаю «ПРЕДУПРЕЖДЕНИЕ: ИДЕНТИФИКАЦИЯ УДАЛЕННОГО ХОЗЯКА ИЗМЕНИЛАСЬ!» , Я знаю, это потому, что отпечаток SHA256 изменен, и вы можете увидеть новый с помощью команды openssl, но я не знаю, откуда я могу проверить, когда он изменился? а также я не знаю, как вы (или хакер) можете его изменить? или что случилось, что он был изменен.
Пожалуйста, не рекомендуйте мне отключать его от сети и т. д., как я уже сделал это, и я просто хочу знать, когда и как это произошло.
но я не знаю, откуда я могу проверить, когда оно изменилось?
Ну, для начала, я бы посмотрел на временные метки файлов ( / etc / ssh / ssh_host * ), хотя это ненадежный способ узнать, когда файл был изменен. Однако это может дать вам начало. Чтобы узнать окончательно, вам нужно просмотреть свои резервные копии и узнать, когда файл был изменен.
а также я не знаю, как вы (или хакер) можете его изменить?
Просто удалив и воссоздание ключей хоста ssh. В системах на базе Debian ключи можно восстановить, удалив их и запустив dpkg-reconfigure openssh-server .
Пожалуйста, не рекомендуйте мне отключать его от сети и т. Д., Так как Я уже сделал это, и я просто хочу знать, когда и как это произошло.
Ну, вы подключились к нему по SSH, значит, он все еще в сети, а?