Temo por SSH en mi sistema Linux

Question

Temo por SSH en mi sistema Linux

#1 de lynks (6 votos)

0

He comprobado mi servidor Linux (Centos 6) con rkhunter. Encontré lo siguiente en el registro rkhunter

[14:38:54]   Checking if SSH protocol v1 is allowed          [ Warning ]
[14:38:54] Warning: The SSH configuration option 'Protocol' has not been set.
           The default value may be '2,1', to allow the use of protocol version 1.

Cuando verifiqué con /etc/ssh/ encontré 2 archivos de configuración, sshd_config y ssh_config .

ssh_config modificada por última vez el 21 de septiembre de 2013 (22:30).

resultado rkhunter del 21 de septiembre de 2013 (04:20)

[04:10:40]   Checking if SSH root access is allowed          [ Not set ]
[04:10:40]   Checking if SSH protocol v1 is allowed          [ Not allowed ]

Me preocupa que mi servidor pueda estar comprometido.

Actualizar

Después de ejecutar el análisis de clamav en el servidor, encontré /usr/sbin/sasluster ( Stealth MultiFunctional IrcBot ).

¿Cómo lo elimino? ¿Qué significa?

linux ssh system-compromise centos

pregunta Kumar 25.09.2013 - 12:17

fuente

1 respuesta

Lea otras preguntas en las etiquetas linux ssh system-compromise centos

pgp desencriptación en una PC pública ¿El ISP de mi cliente puede rastrear quién visitó el sitio web de mi empresa?

score 6 · Accepted Answer

A juzgar por lo que originalmente publicaste sobre SSH, no hay evidencia de que tu servidor esté comprometido. Sería una forma bastante sencilla de romper el SSH para que un atacante recurra a una configuración predeterminada.

Esto es simplemente un mensaje de advertencia de que su sshd o ssh podría estar mal configurado. RKHunter no pudo encontrar un valor de configuración para la clave Protocol y simplemente le advierte que el valor predeterminado podría no ser bueno para la seguridad.

Debes editar tus archivos sshd_config y ssh_config y agregar una línea Protocol 2 para evitar recibir esta advertencia en el futuro al desactivar explícitamente el protocolo 1.

Así que tienes evidencia de que tu archivo de configuración SSH ha cambiado. Esto es casi seguro que es el resultado de una actualización, si alguien ejecutó un apt-get upgrade y luego dijo yes cuando se le preguntó acerca de una sobrescritura de configuración, esto puede suceder.

Debes revisar el resto de tu sshd_config , sin embargo, solo para asegurarte de que todo sea como debe ser, en particular deshabilitando el inicio de sesión de root . También puedes ver /etc/passwd para ver si se han creado nuevos usuarios, y /etc/sudo por las mismas razones.

Si su servidor se ve comprometido, es poco probable que esté relacionado con la advertencia sobre SSH.