最近、新しいクラウドサーバーを導入し、ドックPHP と Vue/static アプリ、および letsencrypt 用のプラグインの 2 つのシンプルなアプリをセットアップしました。
すべては順調でしたが、2日後、authorized_keysdokku ユーザーのファイルに異常なエントリが3つあることに気付きました。私のサーバーが何らかの形で侵害されたのか、それとも私が過剰反応しているのか疑問に思っています。
キーは編集されています:
command="FINGERPRINT=SHA256:<redacted> NAME=\"admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin2\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key> jondo@debian
Dokkuにはsshcommand機能があります(リンク)しかし、私はそれを一度も使用しませんでした。
見てみるlastと、.bash_history異常なことは何も見つからず、/var/log/auth.logすべてのパブリック サーバーが直面していると思われる無限のブルート フォース攻撃が明らかになりましたが、異常なログインはありませんでした。
答え1
ドックドキュメンテーション言う:
警告: Web インストーラー経由でセットアップを完了しない場合 (SSH キーと仮想ホストを他の方法でセットアップした場合でも)、Dokku のインストールは、セットアップ ページを見つけてキーを挿入する誰かに対して脆弱なままになります。
これを実行しなかった場合は、誰かが (おそらく自動スキャナーを使用して) このリンクを見つけて、独自のキーを入力したことになります。
残念ながら、私は dokku について十分に知らないため、これが確実にあなたのシステムが侵害されたことを意味するかどうかはわかりませんが、これが事実である可能性は非常に高いと思います。