최근에 새로운 클라우드 서버를 배포하고 설치했습니다.독쿠. 저는 두 개의 간단한 앱, 즉 PHP 및 Vue/정적 앱과 letsencrypt용 플러그인을 설정했습니다.
모든 것이 괜찮았지만 이틀 후 authorized_keysdokku 사용자에 대한 파일에서 세 가지 특이한 항목을 발견했습니다. 내 서버가 어떤 식으로든 손상되었는지, 아니면 내가 과민반응을 하고 있는지 궁금합니다.
키가 수정되었습니다:
command="FINGERPRINT=SHA256:<redacted> NAME=\"admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin2\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key> jondo@debian
Dokku에는 다음과 sshcommand같은 기능이 있습니다(링크)하지만 나는 그것을 사용하지 않았습니다.
살펴보니 last특이한 .bash_history점은 없으며 /var/log/auth.log모든 공개 서버가 직면하는 끝없는 무차별 대입 시도가 드러나지만 특이한 로그인은 없습니다.
답변1
독쿠선적 서류 비치말한다:
경고: 웹 설치 프로그램을 통해 설정을 완료하지 않으면(SSH 키와 가상 호스트를 별도로 설정한 경우에도) Dokku 설치는 설정 페이지를 찾고 키를 삽입하는 사람에게 취약한 상태로 남아 있습니다.
이를 수행하지 않은 경우 누군가(아마 자동 스캐너를 사용하여)가 이 링크를 찾아 자신의 키를 입력한 것입니다.
불행하게도 나는 이것이 확실히 귀하의 시스템이 손상되었음을 의미하는지 말할 만큼 dokku에 대해 충분히 알지 못하지만 이것이 사실인지 매우 의심스럽습니다.