Недавно я развернул новый облачный сервер и установилдокку. Я настроил два простых приложения: приложение PHP и Vue/static, а также плагин для letsencrypt.
Все было хорошо, но два дня спустя я заметил три необычные записи в файле authorized_keysдля пользователя dokku. Мне интересно, был ли мой сервер каким-то образом скомпрометирован или я слишком остро реагирую:
Ключи были отредактированы:
command="FINGERPRINT=SHA256:<redacted> NAME=\"admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin2\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key> jondo@debian
У Dokku есть sshcommandфункция (связь) но я им никогда не пользовался.
При рассмотрении lastи .bash_historyне обнаруживается ничего необычного, зато /var/log/auth.logобнаруживаются бесконечные попытки перебора, с которыми, как я полагаю, сталкиваются все публичные серверы, но никаких необычных попыток входа в систему.
решение1
Доккудокументацияговорит:
Предупреждение: если вы не завершите настройку через веб-установщик (даже если вы настроили ключи SSH и виртуальные хосты иным образом), ваша установка Dokku останется уязвимой для любого, кто найдет страницу настройки и вставит свой ключ.
Если вы этого не сделали, кто-то (вероятно, с помощью автоматического сканера) нашел эту ссылку и вставил свои ключи.
К сожалению, я недостаточно хорошо разбираюсь в dokku, чтобы сказать, означает ли это, что ваша система определенно скомпрометирована, но я определенно подозреваю, что это так.