Puede que haya un hombre en el ataque central contra mi servidor

3

Tengo un pequeño VPS de $ 7.20 / a, y la huella dactilar para la clave ECDSA ha cambiado tres veces para mí. Esta vez, sucedió poco después de que reinstalé el servidor (de hecho, el mismo día). Siempre deshabilito el inicio de sesión con contraseña y me aseguro de que no pueda iniciar sesión con contraseñas. Después de un tiempo, intenté iniciar sesión en mi servidor y obtuve el error estándar que me informaba sobre el ataque. Seguí adelante y lo deshabilité, y me dijeron que la clave de host para el dominio en el que estaba iniciando sesión era diferente a la de IP. Esto casi solidifica la idea del ataque por sí mismo, pero luego se me pidió una contraseña. ¿Qué consejos tienes para detener esto? Siempre mantengo UFW habilitado, y solo permito SSH, y la autenticación de clave pública / privada es la única manera de ingresar al servidor (sin encontrar un exploit, ofc.)

    
pregunta C Rud 05.02.2016 - 17:09
fuente

1 respuesta

1

Cuando se detecta un cambio en la huella digital de la clave, puede significar algunas cosas:

  • la clave en el servidor realmente cambió; esto es normal después de una reinstalación del sistema operativo y puede suceder después de la reinstalación sshd
  • alguien se hace pasar por tu servidor, intentando un ataque MitM. Esto es posible solo con autenticación basada en contraseña .

Tu comentario sobre una autenticación basada en contraseña que aparece repentinamente de manera inesperada indicaría el segundo caso.

Como nota al margen, no hay ningún valor agregado para que alguien que ya haya pirateado tu servidor cambie la clave ssh, ya que generará una alerta.

    
respondido por el WoJ 05.02.2016 - 20:30
fuente

Lea otras preguntas en las etiquetas