Potrebbe esserci un uomo nell'attacco centrale contro il mio server

3

Ho un piccolo VPS da $ 7,20 / y, e l'impronta digitale per la chiave ECDSA è cambiata tre volte su di me. Questa volta, è successo poco dopo aver reinstallato il server (lo stesso giorno, infatti.) Disabilito sempre il login della password e mi assicuro che non sia possibile accedere con le password. Dopo un po 'ho provato ad accedere al mio server e ho ricevuto l'errore standard che mi informava dell'attacco. Sono andato avanti e disattivato, e mi è stato detto che la chiave host per il dominio che stavo registrando era diversa da quella per l'IP. Questo quasi solidifica l'idea dell'attacco da solo, ma poi mi è stata chiesta una password. Che suggerimenti hai per fermare questo? Mantengo sempre UFW abilitato, e consento solo SSH, e l'autenticazione della chiave pubblica / privata è l'unico modo per entrare nel server (senza trovare un exploit, ofc.)

    
posta C Rud 05.02.2016 - 17:09
fonte

1 risposta

1

Quando viene rilevato un cambiamento nell'impronta digitale della chiave, può significare alcune cose:

  • la chiave sul server è stata modificata genuinamente - questo è normale dopo una reinstallazione del sistema operativo e può verificarsi dopo la reinstallazione di sshd
  • qualcuno sta fingendo di essere il tuo server, provando un attacco MitM. Questo è possibile solo con autenticazione basata su password .

Il tuo commento su un'autenticazione basata su password che apparirà all'improvviso potrebbe suggerire il secondo caso.

Come nota a margine, non c'è alcun valore aggiunto per qualcuno che ha già violato il tuo server per cambiare la chiave ssh in quanto genererà un avviso.

    
risposta data 05.02.2016 - 20:30
fonte

Leggi altre domande sui tag