我的服务器被入侵了,当我通过 ssh 连接到它时,我得到了" WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!",我知道这是因为 SHA256 指纹被改变了,你可以通过 openssl 命令看到新的指纹,但我不知道从哪里可以检查它什么时候改变了?而且我也不知道你(或黑客)如何改变它?或者发生了什么事情导致它被改变了。
请不要建议我将其从网络上拔掉等,因为我已经这样做了,我只是想知道它是什么时候发生的以及如何发生的。
答案1
但我不知道从哪里可以检查它何时发生了变化?
好吧,首先,我会查看文件时间戳 ( /etc/ssh/ssh_host*),尽管这不是了解文件何时更改的可靠方法。不过,它可以为您提供一些起点。为了确切地知道,您需要查看备份并查看文件何时更改。
而且我不知道你(或黑客)如何改变它?
只需删除并重新创建 ssh 主机密钥即可。在基于 debian 的系统上,可以通过删除密钥然后运行来重新生成密钥dpkg-reconfigure openssh-server。
请不要建议我将其从网络上拔掉等,因为我已经这样做了,我只是想知道它是什么时候发生的以及如何发生的。
好吧,您已经通过 SSH 连接到它,所以它仍然在网络上,是吗?