Questi problemi di mysql e ssh significano che il mio server delle rotaie è stato violato?

1

Sto eseguendo un'applicazione rails su un server ubuntu su slicehost. Ho ricevuto un avviso pingdom che il server era irraggiungibile, quindi ho provato a caricare il sito web nel mio browser. Mostrava un errore Passenger, dicendo che le rotaie non potevano autenticare una connessione a mysql usando username: password. (Scusa, questo è un po 'vago, non ho salvato il messaggio di errore prima di ricaricare la pagina in seguito.)

A questo punto ho provato ad usare SSH, ma ho dovuto affrontare un errore su come la mia chiave host era cambiata, e questo potrebbe essere un attacco man-in-the-middle. Non ho tentato di accedere cancellando la voce di quell'host nel file hosts conosciuto.

Ho esitato per qualche minuto, ma poi ho ricevuto un altro avviso pingdom che diceva che il mio server era attivo. Sono stato in grado di caricarlo nel browser.

Quando ho provato a eseguire nuovamente SSH, sono riuscito senza alcun avviso.

Il tempo di inattività totale era di circa 20 minuti. Ho controllato i log per rails, apache, mysql e syslog. A parte un gap di 20 minuti nei log di apache e rails, non c'era nulla di interessante. (Diversi tentativi di accesso alla rete bloccati da iptables, ma non più del solito.) Nessun accesso alla directory root dal 2009 (utilizzo un altro utente con accesso sudo).

Sono confuso su come il primo tentativo di ssh fallirebbe con la chiave dell'host sbagliata, ma il secondo avrebbe avuto successo. Ha senso?

Sembra un attacco riuscito / tentato? Non so quale dei due segni indicherebbe.

Sarei grato se qualcuno potesse dirmi cos'altro potrei voler controllare.

    
posta Jason McLaren 24.07.2012 - 09:12
fonte

2 risposte

4

Non sembra che tu mi sia stato violato, sembra più probabile che Slicehost abbia temporaneamente un problema. Il messaggio SSH che hai ottenuto indica che la chiave inviata dal server era diversa da quella nella cache. Ecco alcuni possibili motivi che vengono in mente: - A un altro server potrebbe essere stato assegnato temporaneamente l'indirizzo IP, quindi il problema è stato risolto. - Il servizio ssh è stato avviato prima che tutti i file system fossero disponibili e rispondeva in modo errato. Una volta che il server era completamente attivo, sshd ha risposto correttamente - In qualche modo, le connessioni ssh del proxy Slicehost in entrata e mentre il server non era disponibile, ha risposto con un tipo di default

Non assocerei i sintomi a essere hackerato, sembra molto più simile a un problema di infrastruttura di rete / server, quindi inizierei contattando Slicehost e chiedendo loro di correlare il problema con qualsiasi evento. Una buona compagnia dovrebbe essere all'altezza di eventuali problemi che potrebbero aver avuto in quel momento. Se non ci sono stati eventi, è necessario effettuare un controllo approfondito del sistema poiché è ancora possibile che tu sia stato violato.

    
risposta data 24.07.2012 - 11:50
fonte
2

Non so come funziona Slicehost, ma prima di considerare il peggio, proverei a contattarli per avere maggiori informazioni.

Come stai dicendo, avevi un server inattivo da 20 minuti e quando hai provato a connetterti tramite SSH durante questo periodo di inattività, la tua chiave SSH è cambiata.

Può essere un attacco, ma è anche possibile che quando un server non funziona, slicehost accetta ancora una connessione SSH ad un altro server, una sorta di failover su uno , che non ha la stessa chiave SSH (ovviamente!). Ecco perché dovresti contattarli.

E forse hanno più informazioni a riguardo, come un guasto hardware locale o un router guasto.

Se non accade nulla del genere, dovresti controllare se le tue pagine web sono state aggiornate (per includere alcuni virus nelle tue pagine web) o se non hai installato nessun worm eseguendo un antivirus.

L'ultimo sarà not sicuro al 100% e se segui questa strada, ti consiglio di analizzare regolarmente le connessioni di rete per le richieste dispari (in / out) e anche le tue pagine html.

Dopo tutte queste procedure, se ancora non la senti, ti suggerirei di fare una reinstallazione pulita dell'intero server. Questo è quello che farò. Cercherò di individuare ciò che potrei aver sbagliato nella mia configurazione per evitare di ripetere lo stesso errore.

    
risposta data 24.07.2012 - 10:18
fonte

Leggi altre domande sui tag