Qualcuno ha effettuato l'accesso al server tramite ssh usando la mia chiave RSA

1

Ho appena ricevuto il messaggio di avviso dal provider di hosting che il mio server effettua il traffico in uscita 1.5G per fornire attacco DDOS su un host, e hanno temporaneamente disattivato il VPS.

Quando cerco attraverso auth.log ho visto qualcuno che ha effettuato l'accesso con la chiave privata e l'unica chiave sul server è mia. Non posso credere che qualcuno possa aver rubato la chiave privata dal mio computer. L'hacker può in qualche modo accedere senza la chiave privata?

    
posta James May 11.04.2016 - 11:25
fonte

1 risposta

3

Sospetto che la tua chiave sia influenzata dal problema delle chiavi deboli, che è stato generato usando l'ID di processo come seme: link

Nota che questo dipende solo da quale macchina hai generato le tue chiavi, NON dalla macchina SSH.

C'è quindi la possibilità che l'attaccante abbia previsto la tua chiave. Ecco perché suggerisco di rigenerare le chiavi, usando una versione di debian in cui è stato risolto questo problema e quindi sostituendo le chiavi nel VPS.

    
risposta data 11.04.2016 - 16:00
fonte

Leggi altre domande sui tag