¿Cambio automático de huella digital RSA o me han pirateado?

4

hoy traté de conectarme a mi Digital Ocean VPS a través de Putty (kitty) como de costumbre, pero recibí el mensaje de que la huella dactilar almacenada en el caché del servidor había cambiado y que podía ser un compromiso de seguridad.

Acepté la nueva clave porque necesitaba obtener acceso en este momento, pero ahora tengo un poco de curiosidad al respecto.

¿Podría la clave haber sido actualizada automáticamente? (No lo cambié manualmente y la raíz está deshabilitada). ¿Qué puedo hacer para verificar si fue una posible violación de seguridad?

No estoy seguro de si debo publicar esto aquí o en la comunidad de Linux, pero cualquier ayuda sería muy apreciada.

    
pregunta raphadko 31.10.2015 - 06:32
fuente

1 respuesta

2

Lo primero que diré es ouch. Las razones típicas de un cambio en la huella digital son que la clave del servidor ssh se ha vuelto a generar (por alguien), se ha reinstalado sshd (no solo se ha actualizado desde yum o apt-get), se ha reinstalado su cliente ssh local o --- la verdadera razón de el cheque --- hay un hombre en el medio.

En los escenarios de actualización clave, lo hiciste o alguien más lo hizo. Si no fuiste tú, entonces probablemente estés comprometido.

En el escenario MITM, todo lo que escribiste fue capturado y ahora puede ser reproducido por un adversario. En cuyo caso es probable que esté comprometido. Nada está oculto del MITM.

Por lo tanto, antes de asumir que está comprometido, verifique que Dig O no administre su servicio por usted y que no realice estos cambios en su nombre. Además, si actualizaste tu cliente ssh local, entonces la clave podría haber sido pisoteada. Busque razones lógicas para no esperar lo peor, pero es muy correcto ser paranoico. [Personalmente siempre espero lo peor. He trabajado muchas docenas de intrusiones muy significativas.]

En el peor de los casos, simplemente tiene que borrar el sistema operativo y restaurar sus datos (no archivos ejecutables, bibliotecas, contraseñas o ssh_keys desde una copia de seguridad potencialmente dañada, sino solo sus datos. Si restaura servicios, tiene una condición de carrera). . actualice las contraseñas de autenticación al instante.

Todo esto supone que cualquier intrusión no comienza con su cliente local y se ha propagado al servidor remoto - :).

En general, debe comprender de dónde proviene ese mensaje y, si no fue usted, es hora de ponerse a trabajar.

    
respondido por el UDude 01.11.2015 - 04:57
fuente

Lea otras preguntas en las etiquetas