服务器被黑客入侵后,SSH 密钥指纹不匹配(Bluehost Wordpress)。如何识别问题?

服务器被黑客入侵后,SSH 密钥指纹不匹配(Bluehost Wordpress)。如何识别问题?

今天早上在 Bluehost 服务器 Wordpress 安装上检测到了一次黑客攻击。有人使用了具有管理员权限的 Wordpress 用户帐户的凭据,我现在正在处理善后事宜。我知道,我没能及时限制其他人的权限。唉。

立即恢复干净的 Wordpress 备份(通过 phpmyadmin 数据库导入)并立即删除受影响的管理员帐户。删除了所有我未设置的 ftp 帐户。现在至少从 Bluehost 的 cpanel 视图来看,它又变得干净了。我是唯一的管理员。

我还没有进行过 SSH 会话。因为 SSH 指纹密钥不再匹配。我的 ssh 客户端之前已将公钥存储在 .ssh/known_hosts 中。排除 DNS 欺骗(我控制域,并且在 SSH 调用 IP 地址时遇到同样的问题)。

服务器:ssh-keygen -l -f id_rsa 2048 SHA256:F6Q/VrkvaIM4e/2Z49c5VLzbI43eMa3POwENPnQVSuA id_rsa.pub (RSA)

客户端:ssh(从 .ssh/known_hosts 中删除之前的公钥后)ED25519 密钥指纹是 SHA256:VPqWe8U9SxpgSvw/dlhsrfMuGf6EVwsnPzTOrdqSJso。

服务器 .ssh/id_rsa.pub 文件的日期是几年前生成这些密钥时的日期。但是它与客户端 .ssh/known_hosts 中存储的密钥并不完全匹配。有趣的是,前 28 个字符匹配,其余字符不同。

为什么指纹不匹配?

是否还有其他我还没发现的可以改变的东西?

担心使用新密钥(?)通过 ssh 访问服务器并在 ssh 中输入我的管理员密码。

非常感谢您的帮助。

谢谢!Dirk

答案1

在 .ssh/known_hosts 中,您保留服务器的指纹密钥,而不是 ssh 密钥的公共部分。

您的服务器上很可能有 rootkit。这意味着从备份中恢复数据不会起作用。您需要完全重新安装服务器(订购全新的服务器)或运行本地检查 rootkit 迹象的脚本。

相关内容