alguien ha iniciado sesión en el servidor a través de ssh usando mi clave RSA

1

Acabo de recibir el mensaje de advertencia del proveedor de alojamiento de que mi servidor genera 1.5G de tráfico saliente para proporcionar un ataque DDOS en el host de alguien y deshabilitaron temporalmente mi VPS.

Cuando busco a través de auth.log, vi a alguien que inició sesión con una clave privada, y la única clave en el servidor es la mía. No puedo creer que alguien pueda robar una clave privada de mi computadora. ¿Puede el hacker iniciar sesión de alguna manera sin la clave privada?

    
pregunta James May 11.04.2016 - 11:25
fuente

1 respuesta

3

Sospecho que su clave se ve afectada por el problema de las claves débiles, que se generó utilizando el ID de proceso como semilla: enlace

Tenga en cuenta que esto solo depende de la máquina en la que generó sus claves, NO de la máquina con SSH.

Entonces existe la posibilidad de que el atacante haya predicho tu clave. Es por eso que sugiero que se vuelvan a generar las claves, usando una versión de Debian donde se haya solucionado este problema, y luego se reemplacen las claves en su VPS.

    
respondido por el sebastian nielsen 11.04.2016 - 16:00
fuente

Lea otras preguntas en las etiquetas