Sto eseguendo un'applicazione rails su un server ubuntu su slicehost. Ho ricevuto un avviso pingdom che il server era irraggiungibile, quindi ho provato a caricare il sito web nel mio browser. Mostrava un errore Passenger, dicendo che le rotaie non potevano autenticare una connessione a mysql usando username: password. (Scusa, questo è un po 'vago, non ho salvato il messaggio di errore prima di ricaricare la pagina in seguito.)
A questo punto ho provato ad usare SSH, ma ho dovuto affrontare un errore su come la mia chiave host era cambiata, e questo potrebbe essere un attacco man-in-the-middle. Non ho tentato di accedere cancellando la voce di quell'host nel file hosts conosciuto.
Ho esitato per qualche minuto, ma poi ho ricevuto un altro avviso pingdom che diceva che il mio server era attivo. Sono stato in grado di caricarlo nel browser.
Quando ho provato a eseguire nuovamente SSH, sono riuscito senza alcun avviso.
Il tempo di inattività totale era di circa 20 minuti. Ho controllato i log per rails, apache, mysql e syslog. A parte un gap di 20 minuti nei log di apache e rails, non c'era nulla di interessante. (Diversi tentativi di accesso alla rete bloccati da iptables, ma non più del solito.) Nessun accesso alla directory root dal 2009 (utilizzo un altro utente con accesso sudo).
Sono confuso su come il primo tentativo di ssh fallirebbe con la chiave dell'host sbagliata, ma il secondo avrebbe avuto successo. Ha senso?
Sembra un attacco riuscito / tentato? Non so quale dei due segni indicherebbe.
Sarei grato se qualcuno potesse dirmi cos'altro potrei voler controllare.