[Techinfo] linux ssh

Veres Sándor veresh at kossuthzs-szeged.sulinet.hu
2016. Dec. 14., Sze, 08:34:07 CET


2016.12.13. 21:50 keltezéssel, Adam írta:
> Az eredeti problema nem az ssh vedelmerol szolt.

Egy gondolat azért még eszembe jutott ezzel kapcsolatban, cáfolj vagy 
erősítsd meg az érvelésemet.

Mivel korábban engedélyezve volt ssh-n a jelszóval történő belépés, 
elképzelhető, hogy brute force módszerrel kitalálták az egyik 
felhasználó jelszavát, akár a root-ét is (kíváncsi lennék, hogy mennyire 
véletlenszerű a root jelszava;). Ha ez így történt (ami elképzelhető), 
akkor máris tud további szerverek felé ssh-zni, továbbá a biztonság 
kedvért még egy kulcsot is generálhatott magának a szerveren, és ebben 
az esetben akkor is be tud lépni, ha a jelszóval való belépés tiltva van 
(én így csinálnám). Ebben az esetben csak az korlátozhat bizonyos 
tekintetben (feltéve, hogy nem a root jelszavát találták ki), ha 
"minden" internet felé kimenő forgalom tiltva van, néhány szükséges (80, 
443) portot leszámítva, vagy ha már eleve be sem tud jönni a szerverre 
(pl. AllowUsers, stb), de perszer ez is kijátszható, ha egyszer már bent 
volt, és ügyes volt.
A lényeg, ki kell deríteni, hogy melyik gép a fertőzött, eltávolítania a 
hálózatból, kideríteni, hogyan jutottak be rá, ezt orvosolni, majd 
újratelepíteni.
De nagyobb a valószínűsége, hogy a nem frissített weboldalon keresztül 
törték a szervert, ha egyáltalán azt törték.

Veres Sándor



További információk a(z) Techinfo levelezőlistáról