Tôi có máy chủ đám mây nhỏ trên Hetzner mà tôi bật nguồn hàng ngày (sử dụng API Hetzner) từ máy chủ tại nhà của mình lúc 3 giờ sáng và sau đó tôi đăng nhập vào đó qua SSH, thực hiện một số công việc rồi tắt máy (tất cả đều là quy trình tự động)
Mọi thứ đều ổn trong nhiều tháng, tôi đã không chạm vào máy chủ gia đình hoặc máy chủ đám mây của mình nhưng hôm nay tôi nhận được email cảnh báo
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
@ CẢNH BÁO: NHẬN DẠNG MÁY CHỦ TỪ XA ĐÃ THAY ĐỔI! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
CÓ THỂ LÀ MỘT NGƯỜI ĐANG LÀM ĐIỀU GÌ TUYỆT VỜI!
Ai đó có thể đang nghe lén bạn ngay bây giờ (tấn công trung gian)!
Cũng có thể là một khóa máy chủ vừa được thay đổi.
Dấu vân tay cho khóa ECDSA do máy chủ từ xa gửi là
Điều đó rất đáng ngờ vì không có thay đổi nào đối với máy chủ của tôi nên tôi đã đăng nhập và kiểm tra /var/log/auth.log :
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: nhóm mới: name=ubuntu, GID=1001
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: người dùng mới: name=ubuntu, UID=1001, GID=1001, home=/home/ubuntu, shell=/bin/bash
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm 'adm'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm 'dialout'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm 'cdrom'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm 'đĩa mềm'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm 'sudo'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm 'âm thanh'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm 'dip'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm 'video'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm 'plugdev'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm 'lxd'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm 'netdev'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm bóng tối 'adm'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm bóng tối 'dialout'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm bóng tối 'cdrom'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm bóng tối 'đĩa mềm'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm bóng tối 'sudo'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm bóng 'âm thanh'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm bóng tối 'dip'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm bóng tối 'video'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm bóng tối 'plugdev'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm bóng tối 'lxd'
Ngày 10 tháng 12 03:02:19 htznr useradd[1007]: thêm 'ubuntu' vào nhóm bóng tối 'netdev'
Ngày 10 tháng 12 03:02:19 htznr passwd[1014]: mật khẩu cho 'ubuntu' được thay đổi bởi 'root'
Ngày 10 tháng 12 03:02:19 htznr systemd-logind[1057]: Chỗ ngồi mới chỗ ngồi0.
Ngày 10 tháng 12 03:02:19 htznr systemd-logind[1057]: Xem các nút hệ thống trên /dev/input/event0 (Nút nguồn)
Ngày 10 tháng 12 03:02:19 htznr systemd-logind[1057]: Xem các nút hệ thống trên/dev/input/event1 (bàn phím Bộ 2 được Dịch AT)
Ngày 10 tháng 12 03:02:19 htznr sshd[1094]: Máy chủ đang lắng nghe trên cổng 0.0.0.0 222.
Ngày 10 tháng 12 03:02:19 htznr sshd[1094]: Máy chủ đang nghe trên :: cổng 222.
03:02:19 là khi máy được bật nguồn. Như bạn có thể thấy người dùng 'ubuntu' đã được tạo bằng mật khẩu.
Tôi cũng nhận ra rằng tất cả các khóa trong /etc/ssh/ đã bị thay đổi:
-rw------- 1 thư mục gốc 672 Ngày 10 tháng 12 03:02 ssh_host_dsa_key
-rw-r--r-- 1 gốc gốc 598 ngày 10 tháng 12 03:02 ssh_host_dsa_key.pub
-rw------- 1 gốc gốc 227 ngày 10 tháng 12 03:02 ssh_host_ecdsa_key
-rw-r--r-- 1 gốc gốc 170 ngày 10 tháng 12 03:02 ssh_host_ecdsa_key.pub
-rw------- 1 gốc gốc 399 ngày 10 tháng 12 03:02 ssh_host_ed25519_key
-rw-r--r-- 1 gốc gốc 90 ngày 10 tháng 12 03:02 ssh_host_ed25519_key.pub
-rw------- 1 gốc gốc 1,7K 10 tháng 12 03:02 ssh_host_rsa_key
-rw-r--r-- 1 gốc gốc 390 ngày 10 tháng 12 03:02 ssh_host_rsa_key.pub
Nguyên nhân có thể là gì? Tôi đăng nhập vào máy chủ bằng địa chỉ IP của Hetzner.
Tôi lo lắng vì tôi biết nhiều bot cố gắng đăng nhập bằng các tên người dùng phổ biến như 'centos', 'ubuntu', 'fedora', v.v.
Tôi sử dụng Ubuntu và đã bật nâng cấp không giám sát.
Đây là mục mới trong /etc/shadow
Ubuntu:!:18971:0:99999:7:::
