Recentemente, implantei um novo servidor em nuvem e instaleidokku. Eu configurei dois aplicativos simples, um aplicativo PHP e Vue/estático e o plugin para letsencrypt.
Estava tudo bem, mas dois dias depois notei três entradas incomuns no authorized_keysarquivo para o usuário dokku. Estou me perguntando se meu servidor foi comprometido de alguma forma ou se estou exagerando:
As chaves foram redigidas:
command="FINGERPRINT=SHA256:<redacted> NAME=\"admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin2\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key> jondo@debian
Dokku tem um sshcommandrecurso (link)mas nunca usei.
Olhando laste .bash_historynão revelando nada incomum e /var/log/auth.logrevelando as intermináveis tentativas de força bruta que imagino que todos os servidores públicos enfrentam, mas nenhum login incomum.
Responder1
O dokkudocumentaçãodiz:
Aviso: Se você não concluir a configuração por meio do instalador web (mesmo se você configurar chaves SSH e hosts virtuais), sua instalação do Dokku permanecerá vulnerável a qualquer pessoa que encontre a página de configuração e insira sua chave.
Se você não fez isso, alguém (provavelmente usando um scanner automatizado) encontrou esse link e inseriu suas próprias chaves.
Infelizmente, não sei o suficiente sobre dokku para dizer se isso definitivamente significa que seu sistema está comprometido, mas eu definitivamente suspeitaria que esse fosse o caso.