내 IP에는 루트 사용자와 해당 비밀번호가 있습니다. 이 자격 증명을 사용하여 FTP 클라이언트에서 로그인합니다.
지난 이틀 전부터 낯선 사람에 의해 해킹당해 FTP 클라이언트를 사용하여 로그인할 수 없습니다. 비밀번호가 올바르지 않다는 메시지가 표시됩니다.
그래서 루트 사용자의 cpanel에서 비밀번호를 변경했습니다. 이제 ftp 클라이언트에서 연결 중인데 다음 오류가 표시됩니다.
Status: Connecting to myip...
Response: fzSftp started, protocol_version=5
Command: open "root@myip" 22
Error: Disconnected: No supported authentication methods available (server sent: publickey,gssapi-keyex,gssapi-with-mic)
Error: Could not connect to server
Status: Waiting to retry...
Status: Connecting to myip...
Response: fzSftp started, protocol_version=5
Command: open "root@myip" 22
Error: Disconnected: No supported authentication methods available (server sent: publickey,gssapi-keyex,gssapi-with-mic)
Error: Could not connect to server
이전에는 cpanel에서 SSH 키를 생성하고 인증을 활성화하고 키를 다운로드한 다음 ftp 클라이언트에서 해당 키를 사용하여 로그인을 시도했습니다. 그것도 성공하지 못했습니다.
그런 다음 인증을 비활성화하고 키를 삭제합니다.
여전히 FTP 클라이언트를 사용하여 루트 사용자로 로그인할 수 없습니다. 하지만 로그인이 가능해요http://myip:2086/이 자격 증명을 사용합니다.
지금 내가 무엇을 해야 합니까?
답변1
공격자는 분명히 두 서비스 모두에서 비밀번호를 사용한 로그인을 비활성화했습니다.
a) 서버에 KVM을 사용할 수 있는 경우 이를 사용하여 공격자의 변경 사항을 되돌릴 수 있습니다. 비밀번호 로그인을 다시 활성화하려면 구성 파일을 수정하고 서비스(ssh, ftp)를 다시 시작해야 합니다.
b) 공격 전에 cpanel에서 SSH 키를 생성한 경우 공격자가 ~/.ssh/authorized_keys에서 공개 키를 삭제할 수 있습니다. 새 키 쌍을 생성하고 승인한 후 다시 시도하세요.
c) 이미 테스트한 경우 SSH 클라이언트(매개변수 -i '/path/to/private-key')를 사용하여 올바른 ID를 보내고 있는지 확인하세요.