authorized_keys 中出现意外条目 - 我的服务器是否受到了威胁?

authorized_keys 中出现意外条目 - 我的服务器是否受到了威胁?

我最近部署了一个新的云服务器并安装了多库。我已经设置了两个简单的应用程序,一个 PHP 和 Vue/static 应用程序以及 letsencrypt 插件。

一切都很顺利,但两天后,我注意到authorized_keysdokku 用户的文件中有三个不寻常的条目。我想知道我的服务器是否以某种方式被入侵了,或者我是否反应过度:

密钥已被删除:

command="FINGERPRINT=SHA256:<redacted> NAME=\"admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin2\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key> jondo@debian

Dokku 有一个sshcommand功能(关联)但我从来没有用过它。

查看last.bash_history发现没有什么异常,并且/var/log/auth.log揭示了我认为所有公共服务器都会面临的无休止的暴力破解尝试,但没有发现任何异常的登录。

答案1

杜库文档说:

警告:如果您没有通过 Web 安装程序完成安装(即使您设置了 SSH 密钥和虚拟主机),您的 Dokku 安装仍然会受到任何找到安装页面并插入密钥的人的攻击。

如果您没有这样做,有人(可能使用自动扫描仪)会找到此链接并输入他们自己的密钥。

不幸的是,我对 dokku 了解不够多,无法告诉你这是否意味着你的系统受到了损害,但我肯定会非常怀疑这种情况。

相关内容