Не санкционированный вход SSH

[Gurd]

Где-то пол года назад на фрилансе искал исполнителя по настройке физического сервера.
Был выдан root. Вся необходимая работа была выполнена на отлично.

По окончанию я сразу же изменил пароль root.
В ssh закрыл авторизацию по паролю.
С генерировал закрытый и публичный ключ, разрешил авторизацию только по ключу.

Проверил никаких новых пользователей нет, новых открытых портов нет всё вроде бы нормально, рестарт сервера.

Сегодня заходу наблюдаю последний вход не с моего IP

В auth.log
Sep 1 03:37:50 node sshd[27067]: Accepted publickey for root from 95.30.xx.xxx port 7406 ssh2

Первые цифры 95.30. совпадают с ip исполнителя, остальные нет но все это Corbina.

Чё происходит? Я что-то упустил? )

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

А ключа своего он на сервере не оставил?

[snorlov]

Публичный ключ доступен всем, на то он и публичный...

[Gurd]

Наверно быстрей всего свой ключ где-то оставил, мог написать и заинклюдить свой скрипт куда-нибудь.

Пока опять сменил все пароли, доступ по SSH открыл только для своего ip.

Надо сносить всё и ставить по новой. Зверёк явно где-то есть. (

[f_andrey]

С генерировал закрытый и публичный ключ, разрешил авторизацию только по ключу.

Я особо ключами не парился, но разве там не достаточно его публичного ключа в ~/.ssh/ Ну и вообще, sshd отлично поддерживает фильтрацию по пользователю и адресу, если вы сами не с диалапа, то почему бы не запретить всё кроме вашего пользователя и ИП? Ну и повысить уровнь логирования, если при нынешнем не видно откуда был вход.

Отправлено спустя 1 минуту 4 секунды:

Accepted publickey for root

А зачем у вас вообще разрешено root ходить по ssh? Оно даже специально по умолчанию отключено.

Отправлено спустя 2 минуты 20 секунд:
А.. хотя это ж линукс, там по дефолту может быть и не отключено

[Gurd]

Я особо ключами не парился, но разве там не достаточно его публичного ключа в ~/.ssh/

Достаточно только там лежит мой публичный ключ и главного второй половинки у него быть не может. )

Я почему и написать решил сюда, меня это сильно удивило когда я увидел авторизацию по ключу и явно по своему.

[FiL]

что-то вы путаетесь в том как авторизация по ключу работает.
таки да, приватная часть есть только у хозяина ключа.
А вот на серверах, куда с тем приватным ключом можно ходить, лежит только публичная часть.
если у рута в authorized_keys есть лишние публичные ключи, которые вам не знакомы, то их надо-бы почистить.

Отправлено спустя 3 минуты 43 секунды:

А зачем у вас вообще разрешено root ходить по ssh? Оно даже специально по умолчанию отключено.

А зачем мне ходить на сервера без рута? В чем смысл?
Я понимаю на рабочие машины, где я могу без рута заниматься некоей своей деятельностью. Но на администрируемые мной сервера - без рута мне там делать нечего. А ходить под безправным юзером и выполнять от него всегда одну единственную команду "su - " - некоторый не очень понятный мне гемор. Есть у меня пару серверов, которые не мои, но я за ними присматриваю. Вот там такая ситуация и кроме как желания пристукнуть владельца ничего более такая затея не вызывает. Я там кроме как su от своего юзера ни единой команды не выполнил за 10 лет.

[Alex Keda]

Я там кроме как su от своего юзера ни единой команды не выполнил за 10 лет.

дополнительная ступенька беопасности

вот коли у тредстартера было бы так настроено, он бы щас тут не тусовался б

[Gurd]

если у рута в authorized_keys есть лишние публичные ключи, которые вам не знакомы, то их надо-бы почистить.

Вот, что я и упустил.

Спасибо, я честно говоря не знал, что туда можно пихать несколько ключей. А на первый взгляд и не заметишь.
Вы оказались правы эта гнида добавила туда свой ключ.

Вот так, взял за работу кучу денег и оставил для себя чёрный ход. Наверно, чтобы устраивать мне проблемы, а я ему продолжал платить. Хорошо, что спалился и я заметил.

Будьте бдительны. )

[Alex Keda]

мда.... а вариант что просто забыл - вы не рассматривали?
у меня тоже много где мой ключ валяется.
просто потому что у меня нет привычки его за собой убирать

могу и зайти случайно, по ошибке - в истории выскочит не тот сервер, и зайду.
могу даже сервис какойнить рестартануть...

из жизни, рассказ между прочим...

[f_andrey]

мда.... а вариант что просто забыл - вы не рассматривали?

два чая этому господину!

[Gurd]

мда.... а вариант что просто забыл - вы не рассматривали?

Не рассматриваю, ему доступ был дан по паролю и свои ключи пихать не нужно, а потом по случайности ещё и логиниться по нему ничего не сказав спустя пол года.

[Alex Keda]

ему доступ был дан по паролю

и что? мне заниматься онанизмом с паролем?
я пока сервер настрою раз 10 его ребутну и с полсотни раз перелогинюсь, бывает - если что-то нестандартное надо.

кидается ключ и всё.
--

а вообще, стоило бы спросить виновника торжества.

[snorlov]

мда.... а вариант что просто забыл - вы не рассматривали?

Не рассматриваю, ему доступ был дан по паролю и свои ключи пихать не нужно, а потом по случайности ещё и логиниться по нему ничего не сказав спустя пол года.

Вы случайно ему не заказывали вход по ключу... Я к тому , что если заказывали, то его проверить надо...

[Gurd]

и что? мне заниматься онанизмом с паролем?

Пароль в клиенте указывается точно так же как и приватный ключ один раз. В PuTTY по-моему это можно сделать даже несколькими способами.

У Вас много в списке клиента серверов, к которым вы не знаете есть доступ туда или нет?

Или, что это за сервер и зачем я храню туда доступ? Вы бы 500 раз натыкались на запись которая не нужна. Почему он молчал? Забыл какой забывчивый, это опять же характеризует его не с лучшей стороны. Все бы так забывали.

Тут хранился доступ, а спалился он случайно так как тыкнул не туда. Так как на сервер зашёл и сразу вышел.

Зачем мой сервер у него хранится в списке? Он разовый исполнитель.

Вы случайно ему не заказывали вход по ключу... Я к тому , что если заказывали, то его проверить надо...

Ничего не заказывал. Мой косяк в том, что я не знал, что в authorized_keys можно указывать хоть сколько ключей, ну вот как-то никогда не задумывался и не было такой ситуации.

Надо было сразу давать доступ по ключу.

Всем спасибо, ведь Вы мне помогли.

[Alex Keda]

и что? мне заниматься онанизмом с паролем?

Пароль в клиенте указывается точно так же как и приватный ключ один раз. В PuTTY по-моему это можно сделать даже несколькими способами.

У Вас много в списке клиента серверов, к которым вы не знаете есть доступ туда или нет?

Или, что это за сервер и зачем я храню туда доступ? Вы бы 500 раз натыкались на запись которая не нужна. Почему он молчал? Забыл какой забывчивый, это опять же характеризует его не с лучшей стороны. Все бы так забывали.

Тут хранился доступ, а спалился он случайно так как тыкнул не туда. Так как на сервер зашёл и сразу вышел.

Зачем мой сервер у него хранится в списке? Он разовый исполнитель.

виндовс головного мозга?

например я - не пользуюсь виндой. ключ у меня хранится в ~/.ssh/id_rsa
список серверов куда я ходил - в истории командной строки.
поиск по которой делается не глазаками, а набрав начало команды и нажав стрелочку вверх.

соответственно пока я не начал набирать и не брякнул стрелочку - мне ничего не мешает и ни на что я не натыкаюсь.
висит там несколько тысяч команд и висит. есть не просит.

[Gurd]

Так то оно так.

Только мне удобней работать с винды. Привык знаете ли за многие годы. )))
И род моей деятельности не позволяет мне юзать другое.
Не достающий софт и возится постоянно, что-то настраивать у меня на это нет времени. )

[Alex Keda]

э... лет несколько уже ничё не настраивал...
просто работает