¿Estos problemas de mysql y ssh significan que mi servidor de rieles fue pirateado?

Question

¿Estos problemas de mysql y ssh significan que mi servidor de rieles fue pirateado?

#1 de GdD (4 votos)
#2 de Cyril N. (2 votos)

1

Estoy ejecutando una aplicación Rails en un servidor ubuntu en slicehost. Recibí una alerta de pingdom de que el servidor no estaba disponible, así que intenté cargar el sitio web en mi navegador. Se mostró un error de Pasajero, diciendo que los rieles no podían autenticar una conexión a mysql usando el nombre de usuario: contraseña. (Disculpe, esto es un poco vago; no guardé el mensaje de error antes de volver a cargar la página más adelante).

En este punto, intenté ingresar SSH, pero me encontré con un error acerca de cómo había cambiado mi clave de host, y esto podría ser un ataque de hombre en el medio. No intenté iniciar sesión borrando la entrada de ese host en el archivo de hosts conocidos.

Dudé por unos minutos, pero luego recibí otra alerta de pingdom que decía que mi servidor estaba apagado. Pude cargarlo en el navegador.

Cuando intenté SSH nuevamente, tuve éxito sin ninguna advertencia.

El tiempo de inactividad total fue de unos 20 minutos. Revisé los registros en busca de rieles, apache, mysql y syslog. Aparte de un intervalo de 20 minutos en los registros de apache y rieles, no había nada interesante. (Varios intentos de acceso a la red bloqueados por iptables, pero no más de lo normal). No hay acceso al directorio raíz desde 2009 (uso otro usuario con acceso sudo).

Estoy confundido acerca de cómo el primer intento de ssh fallaría con la clave de host incorrecta, pero el segundo tendría éxito. ¿Eso tiene sentido?

¿Eso suena como un ataque exitoso / intento? No sé a qué apuntaría ninguno de esos signos.

Agradecería que alguien me dijera qué otra cosa me gustaría consultar.

ssh mysql rails

pregunta Jason McLaren 24.07.2012 - 09:12

fuente

2 respuestas

Lea otras preguntas en las etiquetas ssh mysql rails

¿Por qué Chrome se conecta a MarkMonitor (siempre en el inicio)? ¿Por qué es útil iptables para prevenir ataques contra una LAN?

score 4 · Answer 1

No parece que me hayan pirateado, parece más probable que Slicehost haya tenido algún tipo de problema temporalmente. El mensaje SSH que recibió significa que la clave que fue enviada por el servidor fue diferente a la de su caché. Aquí hay posibles razones que vienen a la mente: - Es posible que a otro servidor se le haya asignado temporalmente la dirección IP, y luego se solucionó el problema. - El servicio ssh se inició antes de que estuvieran disponibles todos los sistemas de archivos y respondió de manera incorrecta. Una vez que el servidor estaba completamente arriba sshd respondió correctamente - Slicehost proxy de las conexiones ssh entrantes de alguna manera, y mientras el servidor no estaba disponible, respondió con un tipo predeterminado de algún tipo

No asociaría los síntomas con ser pirateado, suena mucho más como un problema de infraestructura de red / servidor, así que empezaría por contactar a Slicehost y pedirles que relacionen su problema con cualquier evento. Una buena compañía debe reconocer cualquier problema que puedan haber tenido en ese momento. Si no hubo eventos, debe realizar una comprobación exhaustiva de su sistema, ya que es posible que haya sido pirateado.

score 2 · Answer 2

No sé cómo funciona Slicehost, pero antes de considerar lo peor, intentaría contactarlos para obtener más información.

Como está diciendo, tuvo un servidor inactivo por 20 minutos, y cuando intentó conectarse a través de SSH durante este tiempo de inactividad, su clave de SSH cambió.

Puede ser un ataque, pero también es posible que cuando un servidor está inactivo, slicehost aún acepte una conexión SSH a otro servidor, una especie de falla sobre uno , que no tiene La misma clave SSH (por supuesto!). Es por eso que debes contactarlos.

Y quizás tengan más información al respecto, como un fallo de hardware local o un enrutador muerto.

Si no sucedió nada de eso, debería verificar si sus páginas web se han actualizado (para incluir algún virus en sus páginas web) o si no tiene ningún gusano instalado al ejecutar un antivirus.

El último no estará 100% seguro y, si sigue ese camino, le recomiendo que analice regularmente sus conexiones de red en busca de solicitudes extrañas (entrada / salida) y también sus páginas html.

Después de todos esos procedimientos, si aún no lo sientes, te sugiero que hagas una reinstalación limpia de todo tu servidor. Eso es lo que haré. E intentaré localizar qué podría haber estado equivocado en mi configuración para evitar volver a cometer el mismo error.