[Techinfo] linux ssh
Veres Sándor
veresh at kossuthzs-szeged.sulinet.hu
2016. Dec. 14., Sze, 08:34:07 CET
2016.12.13. 21:50 keltezéssel, Adam írta:
> Az eredeti problema nem az ssh vedelmerol szolt.
Egy gondolat azért még eszembe jutott ezzel kapcsolatban, cáfolj vagy
erősítsd meg az érvelésemet.
Mivel korábban engedélyezve volt ssh-n a jelszóval történő belépés,
elképzelhető, hogy brute force módszerrel kitalálták az egyik
felhasználó jelszavát, akár a root-ét is (kíváncsi lennék, hogy mennyire
véletlenszerű a root jelszava;). Ha ez így történt (ami elképzelhető),
akkor máris tud további szerverek felé ssh-zni, továbbá a biztonság
kedvért még egy kulcsot is generálhatott magának a szerveren, és ebben
az esetben akkor is be tud lépni, ha a jelszóval való belépés tiltva van
(én így csinálnám). Ebben az esetben csak az korlátozhat bizonyos
tekintetben (feltéve, hogy nem a root jelszavát találták ki), ha
"minden" internet felé kimenő forgalom tiltva van, néhány szükséges (80,
443) portot leszámítva, vagy ha már eleve be sem tud jönni a szerverre
(pl. AllowUsers, stb), de perszer ez is kijátszható, ha egyszer már bent
volt, és ügyes volt.
A lényeg, ki kell deríteni, hogy melyik gép a fertőzött, eltávolítania a
hálózatból, kideríteni, hogyan jutottak be rá, ezt orvosolni, majd
újratelepíteni.
De nagyobb a valószínűsége, hogy a nem frissített weboldalon keresztül
törték a szervert, ha egyáltalán azt törték.
Veres Sándor
További információk a(z) Techinfo levelezőlistáról