Paura di SSH sul mio sistema Linux

Question

Paura di SSH sul mio sistema Linux

#1 da (6 voti)

0

Ho controllato il mio server Linux (CentOS 6) con rkhunter. Ho trovato quanto segue nel registro di rkhunter

[14:38:54]   Checking if SSH protocol v1 is allowed          [ Warning ]
[14:38:54] Warning: The SSH configuration option 'Protocol' has not been set.
           The default value may be '2,1', to allow the use of protocol version 1.

Quando ho controllato con /etc/ssh/ ho trovato 2 file di configurazione, sshd_config e ssh_config .

ssh_config modificato l'ultima volta il 21-set-2013 (22:30).

rkhunter risultato del 21-set-2013 (04:20)

[04:10:40]   Checking if SSH root access is allowed          [ Not set ]
[04:10:40]   Checking if SSH protocol v1 is allowed          [ Not allowed ]

Sono preoccupato che il mio server sia stato compromesso.

Aggiorna

Dopo aver eseguito clamav scan sul server, ho trovato /usr/sbin/sasluster ( Stealth MultiFunctional IrcBot ).

Come lo rimuovo? Che cosa significa?

linux ssh system-compromise centos

posta Kumar 25.09.2013 - 12:17

fonte

1 risposta

Leggi altre domande sui tag linux ssh system-compromise centos

In che modo uno scanner antivirus controlla gli URL inseriti in un browser? Implementazione di Bcrypt SHA-256 [duplicato]

score 6 · Accepted Answer

Seguendo ciò che originariamente pubblicato su SSH, non ci sono prove che il tuo server sia compromesso. Sarebbe un modo abbastanza efficace per rompere SSH affinché un attaccante ricorra a una configurazione predefinita.

Questo è semplicemente un messaggio di avviso che il tuo sshd o ssh potrebbe non essere configurato correttamente. RKHunter non è riuscito a trovare un valore di configurazione per la chiave Protocol e semplicemente ti avvisa che il valore predefinito potrebbe non essere ottimo per la sicurezza.

Dovresti modificare i file sshd_config e ssh_config e aggiungere una riga Protocol 2 per evitare di ricevere questo avviso in futuro disabilitando esplicitamente il protocollo 1.

Quindi hai la prova che il tuo file di configurazione SSH è stato modificato. Questo è quasi certamente il risultato di un aggiornamento, se qualcuno ha eseguito un apt-get upgrade e poi ha detto yes quando è stato chiesto su una sovrascrittura di configurazione, questo può accadere.

Dovresti controllare il resto del tuo sshd_config solo per essere sicuro che tutto sia come dovrebbe essere, in particolare non autorizzando root login. Controlla anche /etc/passwd per vedere se sono stati creati nuovi utenti e /etc/sudo per gli stessi motivi.

Se il tuo server risulta compromesso, è improbabile che questo sia correlato all'avviso su SSH.