Не санкционированный вход SSH

Есть и такой ОС.

Модератор: weec

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Gurd
рядовой
Сообщения: 11
Зарегистрирован: 2009-07-15 20:08:47

Не санкционированный вход SSH

Непрочитанное сообщение Gurd » 2015-09-03 13:50:06

Где-то пол года назад на фрилансе искал исполнителя по настройке физического сервера.
Был выдан root. Вся необходимая работа была выполнена на отлично.

По окончанию я сразу же изменил пароль root.
В ssh закрыл авторизацию по паролю.
С генерировал закрытый и публичный ключ, разрешил авторизацию только по ключу.

Проверил никаких новых пользователей нет, новых открытых портов нет всё вроде бы нормально, рестарт сервера.

Сегодня заходу наблюдаю последний вход не с моего IP

В auth.log
Sep 1 03:37:50 node sshd[27067]: Accepted publickey for root from 95.30.xx.xxx port 7406 ssh2

Первые цифры 95.30. совпадают с ip исполнителя, остальные нет но все это Corbina.

Чё происходит? Я что-то упустил? )

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Не санкционированный вход SSH

Непрочитанное сообщение Alex Keda » 2015-09-04 7:13:09

А ключа своего он на сервере не оставил?
Убей их всех! Бог потом рассортирует...

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Не санкционированный вход SSH

Непрочитанное сообщение snorlov » 2015-09-04 9:10:31

Публичный ключ доступен всем, на то он и публичный...

Gurd
рядовой
Сообщения: 11
Зарегистрирован: 2009-07-15 20:08:47

Не санкционированный вход SSH

Непрочитанное сообщение Gurd » 2015-09-04 14:21:14

Наверно быстрей всего свой ключ где-то оставил, мог написать и заинклюдить свой скрипт куда-нибудь.

Пока опять сменил все пароли, доступ по SSH открыл только для своего ip.

Надо сносить всё и ставить по новой. Зверёк явно где-то есть. (

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Не санкционированный вход SSH

Непрочитанное сообщение f_andrey » 2015-09-04 14:49:08

Gurd писал(а): С генерировал закрытый и публичный ключ, разрешил авторизацию только по ключу.
Я особо ключами не парился, но разве там не достаточно его публичного ключа в ~/.ssh/ Ну и вообще, sshd отлично поддерживает фильтрацию по пользователю и адресу, если вы сами не с диалапа, то почему бы не запретить всё кроме вашего пользователя и ИП? Ну и повысить уровнь логирования, если при нынешнем не видно откуда был вход.

Отправлено спустя 1 минуту 4 секунды:
Gurd писал(а): Accepted publickey for root
А зачем у вас вообще разрешено root ходить по ssh? Оно даже специально по умолчанию отключено.

Отправлено спустя 2 минуты 20 секунд:
А.. хотя это ж линукс, там по дефолту может быть и не отключено :)
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Gurd
рядовой
Сообщения: 11
Зарегистрирован: 2009-07-15 20:08:47

Не санкционированный вход SSH

Непрочитанное сообщение Gurd » 2015-09-04 15:55:36

f_andrey писал(а):Я особо ключами не парился, но разве там не достаточно его публичного ключа в ~/.ssh/
Достаточно только там лежит мой публичный ключ и главного второй половинки у него быть не может. )

Я почему и написать решил сюда, меня это сильно удивило когда я увидел авторизацию по ключу и явно по своему.

FiL
ст. лейтенант
Сообщения: 1375
Зарегистрирован: 2010-02-05 0:21:40

Не санкционированный вход SSH

Непрочитанное сообщение FiL » 2015-09-04 22:59:56

что-то вы путаетесь в том как авторизация по ключу работает.
таки да, приватная часть есть только у хозяина ключа.
А вот на серверах, куда с тем приватным ключом можно ходить, лежит только публичная часть.
если у рута в authorized_keys есть лишние публичные ключи, которые вам не знакомы, то их надо-бы почистить.

Отправлено спустя 3 минуты 43 секунды:
f_andrey писал(а):А зачем у вас вообще разрешено root ходить по ssh? Оно даже специально по умолчанию отключено.
А зачем мне ходить на сервера без рута? В чем смысл?
Я понимаю на рабочие машины, где я могу без рута заниматься некоей своей деятельностью. Но на администрируемые мной сервера - без рута мне там делать нечего. А ходить под безправным юзером и выполнять от него всегда одну единственную команду "su - " - некоторый не очень понятный мне гемор. Есть у меня пару серверов, которые не мои, но я за ними присматриваю. Вот там такая ситуация и кроме как желания пристукнуть владельца ничего более такая затея не вызывает. Я там кроме как su от своего юзера ни единой команды не выполнил за 10 лет.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Не санкционированный вход SSH

Непрочитанное сообщение Alex Keda » 2015-09-05 0:40:56

FiL писал(а): Я там кроме как su от своего юзера ни единой команды не выполнил за 10 лет.
дополнительная ступенька беопасности

вот коли у тредстартера было бы так настроено, он бы щас тут не тусовался б =)
Убей их всех! Бог потом рассортирует...

Gurd
рядовой
Сообщения: 11
Зарегистрирован: 2009-07-15 20:08:47

Не санкционированный вход SSH

Непрочитанное сообщение Gurd » 2015-09-13 23:36:40

FiL писал(а):если у рута в authorized_keys есть лишние публичные ключи, которые вам не знакомы, то их надо-бы почистить.
Вот, что я и упустил. :)

Спасибо, я честно говоря не знал, что туда можно пихать несколько ключей. А на первый взгляд и не заметишь.
Вы оказались правы эта гнида добавила туда свой ключ.

Вот так, взял за работу кучу денег и оставил для себя чёрный ход. Наверно, чтобы устраивать мне проблемы, а я ему продолжал платить. Хорошо, что спалился и я заметил.

Будьте бдительны. )

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Не санкционированный вход SSH

Непрочитанное сообщение Alex Keda » 2015-09-14 0:13:53

мда.... а вариант что просто забыл - вы не рассматривали?
у меня тоже много где мой ключ валяется.
просто потому что у меня нет привычки его за собой убирать

могу и зайти случайно, по ошибке - в истории выскочит не тот сервер, и зайду.
могу даже сервис какойнить рестартануть...

из жизни, рассказ между прочим...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Не санкционированный вход SSH

Непрочитанное сообщение f_andrey » 2015-09-14 0:23:44

Alex Keda писал(а): мда.... а вариант что просто забыл - вы не рассматривали?
два чая этому господину! :)
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Gurd
рядовой
Сообщения: 11
Зарегистрирован: 2009-07-15 20:08:47

Не санкционированный вход SSH

Непрочитанное сообщение Gurd » 2015-09-14 1:11:22

Alex Keda писал(а):мда.... а вариант что просто забыл - вы не рассматривали?
Не рассматриваю, ему доступ был дан по паролю и свои ключи пихать не нужно, а потом по случайности ещё и логиниться по нему ничего не сказав спустя пол года.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Не санкционированный вход SSH

Непрочитанное сообщение Alex Keda » 2015-09-14 9:20:11

Gurd писал(а): ему доступ был дан по паролю
и что? мне заниматься онанизмом с паролем?
я пока сервер настрою раз 10 его ребутну и с полсотни раз перелогинюсь, бывает - если что-то нестандартное надо.

кидается ключ и всё.
--

а вообще, стоило бы спросить виновника торжества.
Убей их всех! Бог потом рассортирует...

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Не санкционированный вход SSH

Непрочитанное сообщение snorlov » 2015-09-14 9:57:25

Gurd писал(а):
Alex Keda писал(а):мда.... а вариант что просто забыл - вы не рассматривали?
Не рассматриваю, ему доступ был дан по паролю и свои ключи пихать не нужно, а потом по случайности ещё и логиниться по нему ничего не сказав спустя пол года.
Вы случайно ему не заказывали вход по ключу... Я к тому , что если заказывали, то его проверить надо...

Gurd
рядовой
Сообщения: 11
Зарегистрирован: 2009-07-15 20:08:47

Не санкционированный вход SSH

Непрочитанное сообщение Gurd » 2015-09-14 11:13:00

Alex Keda писал(а):и что? мне заниматься онанизмом с паролем?
Пароль в клиенте указывается точно так же как и приватный ключ один раз. В PuTTY по-моему это можно сделать даже несколькими способами.

У Вас много в списке клиента серверов, к которым вы не знаете есть доступ туда или нет?

Или, что это за сервер и зачем я храню туда доступ? :) Вы бы 500 раз натыкались на запись которая не нужна. Почему он молчал? Забыл какой забывчивый, это опять же характеризует его не с лучшей стороны. Все бы так забывали.

Тут хранился доступ, а спалился он случайно так как тыкнул не туда. Так как на сервер зашёл и сразу вышел.

Зачем мой сервер у него хранится в списке? Он разовый исполнитель.
snorlov писал(а):Вы случайно ему не заказывали вход по ключу... Я к тому , что если заказывали, то его проверить надо...
Ничего не заказывал. Мой косяк в том, что я не знал, что в authorized_keys можно указывать хоть сколько ключей, ну вот как-то никогда не задумывался и не было такой ситуации.

Надо было сразу давать доступ по ключу.

Всем спасибо, ведь Вы мне помогли. :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Не санкционированный вход SSH

Непрочитанное сообщение Alex Keda » 2015-09-14 12:28:18

Gurd писал(а):
Alex Keda писал(а):и что? мне заниматься онанизмом с паролем?
Пароль в клиенте указывается точно так же как и приватный ключ один раз. В PuTTY по-моему это можно сделать даже несколькими способами.

У Вас много в списке клиента серверов, к которым вы не знаете есть доступ туда или нет?

Или, что это за сервер и зачем я храню туда доступ? :) Вы бы 500 раз натыкались на запись которая не нужна. Почему он молчал? Забыл какой забывчивый, это опять же характеризует его не с лучшей стороны. Все бы так забывали.

Тут хранился доступ, а спалился он случайно так как тыкнул не туда. Так как на сервер зашёл и сразу вышел.

Зачем мой сервер у него хранится в списке? Он разовый исполнитель.
виндовс головного мозга? =)

например я - не пользуюсь виндой. ключ у меня хранится в ~/.ssh/id_rsa
список серверов куда я ходил - в истории командной строки.
поиск по которой делается не глазаками, а набрав начало команды и нажав стрелочку вверх.

соответственно пока я не начал набирать и не брякнул стрелочку - мне ничего не мешает и ни на что я не натыкаюсь.
висит там несколько тысяч команд и висит. есть не просит.
Убей их всех! Бог потом рассортирует...

Gurd
рядовой
Сообщения: 11
Зарегистрирован: 2009-07-15 20:08:47

Не санкционированный вход SSH

Непрочитанное сообщение Gurd » 2015-09-14 12:58:37

Так то оно так. :)

Только мне удобней работать с винды. Привык знаете ли за многие годы. )))
И род моей деятельности не позволяет мне юзать другое.
Не достающий софт и возится постоянно, что-то настраивать у меня на это нет времени. )

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Не санкционированный вход SSH

Непрочитанное сообщение Alex Keda » 2015-09-14 13:37:47

э... лет несколько уже ничё не настраивал...
просто работает =)
Убей их всех! Бог потом рассортирует...