Paura di SSH sul mio sistema Linux

0

Ho controllato il mio server Linux (CentOS 6) con rkhunter. Ho trovato quanto segue nel registro di rkhunter

[14:38:54]   Checking if SSH protocol v1 is allowed          [ Warning ]
[14:38:54] Warning: The SSH configuration option 'Protocol' has not been set.
           The default value may be '2,1', to allow the use of protocol version 1.

Quando ho controllato con /etc/ssh/ ho trovato 2 file di configurazione, sshd_config e ssh_config .

ssh_config modificato l'ultima volta il 21-set-2013 (22:30).

rkhunter risultato del 21-set-2013 (04:20)

[04:10:40]   Checking if SSH root access is allowed          [ Not set ]
[04:10:40]   Checking if SSH protocol v1 is allowed          [ Not allowed ]

Sono preoccupato che il mio server sia stato compromesso.

Aggiorna

Dopo aver eseguito clamav scan sul server, ho trovato /usr/sbin/sasluster ( Stealth MultiFunctional IrcBot ).

Come lo rimuovo? Che cosa significa?

    
posta Kumar 25.09.2013 - 12:17
fonte

1 risposta

6

Seguendo ciò che originariamente pubblicato su SSH, non ci sono prove che il tuo server sia compromesso. Sarebbe un modo abbastanza efficace per rompere SSH affinché un attaccante ricorra a una configurazione predefinita.

Questo è semplicemente un messaggio di avviso che il tuo sshd o ssh potrebbe non essere configurato correttamente. RKHunter non è riuscito a trovare un valore di configurazione per la chiave Protocol e semplicemente ti avvisa che il valore predefinito potrebbe non essere ottimo per la sicurezza.

Dovresti modificare i file sshd_config e ssh_config e aggiungere una riga Protocol 2 per evitare di ricevere questo avviso in futuro disabilitando esplicitamente il protocollo 1.

Quindi hai la prova che il tuo file di configurazione SSH è stato modificato. Questo è quasi certamente il risultato di un aggiornamento, se qualcuno ha eseguito un apt-get upgrade e poi ha detto yes quando è stato chiesto su una sovrascrittura di configurazione, questo può accadere.

Dovresti controllare il resto del tuo sshd_config solo per essere sicuro che tutto sia come dovrebbe essere, in particolare non autorizzando root login. Controlla anche /etc/passwd per vedere se sono stati creati nuovi utenti e /etc/sudo per gli stessi motivi.

Se il tuo server risulta compromesso, è improbabile che questo sia correlato all'avviso su SSH.

    
risposta data 25.09.2013 - 12:34
fonte

Leggi altre domande sui tag