SSH指紋差異

tag-icon tag-icon networking router ssh security modem
SSH指紋差異

TL,博士:

  • 使用者及其同事透過 SSH 存取家庭伺服器。最近,同事開始遇到連線問題,遇到與預期不同的 SSH 金鑰。
  • 由於可能存在 NAT 環回,因此本地網路上的使用者不會遇到這些問題。
  • 他們發現同事看到的是 Dropbear SSH 伺服器,而不是預期的 OpenSSH,這表明數據機/路由器正在幹擾。
  • 由 ISP 提供的數據機/路由器 RTF8115VW 沒有易於調整的設置,導致潛在的駭客/安全漏洞或配置問題的不確定性。
  • 用戶尋求有關後續步驟的建議。

完整的東西:

我家裡有一台伺服器,我透過 SSH(本地網路)連接到它,我的同事也透過我的 IP 直接透過 SSH(互聯網)存取它。

幾天前,我的同事開始出現連線問題,終端機抱怨公鑰不一樣。我們開始調查。

我發現,當透過本地網路存取時,如果我直接連接到伺服器,我會看到與伺服器報告的指紋相同的指紋,以yury4.即使我訪問外部 IP,也會發生這種情況:數據機/路由器似乎執行某種 NAT 環回轉換,並且一切正常。但是,我的同事看到另一個指紋,始終以 開頭XyTk/,並且無法再連接。

進一步觀察,我們注意到他們看到了報告的不同 SSH 伺服器:Dropbear。我看到的是OpenSSH。經過調查,我發現 Dropbear 似乎非常適合嵌入式系統,這讓我懷疑調製解調器/路由器。賓果:如果我詢問調變解調器/路由器的指紋是什麼,它會以 . 開頭的指紋回應XyTk/

問題是我無法確定發生了什麼事。我的基本理解是調製解調器/路由器不應該弄亂資料包,只是傳遞它們,對吧?我也不知道如何解決這個問題。調變解調器/路由器來自接取供應商,某些設定似乎無法存取。事實上,我甚至不知道這個小東西是否被入侵,是否有中間人發生,或者只是配置問題。

下一步的診斷步驟是什麼?

編輯:該設備是 RTF8115VW。

答案1

找出原因可能是一項很好的研究。但你所寫的內容讓我懷疑你可能已經被駭客入侵。

因此,問問自己在這種情況下首要要做的事情是什麼。

  1. 如果您沒有什麼可丟失的,您可以對注意到的問題的方式和位置進行一些很好的取證和調查。
  2. 如果有重要的事情,您應該考慮隔離和立即備份,但不要接觸任何現有的備份媒體。 — 最糟糕的情況是,目前勒索軟體正在悄悄加密您的文件,並會在幾小時或幾天內彈出來索取金錢。
  3. 一種不太激進的情況是,路由器已成為殭屍網路的一部分,壞人可以透過指尖存取該路由器,從而對其他網站執行一些令人討厭的事情。

為什麼我要考慮駭客攻擊?

  • 第一個值得注意的提示是,您向 Internet 端開啟了 SSH 標準連接埠。
    我的觀點:對於一款一體式路由器,永遠不能對 SSH 或任何其他網路服務的標準連接埠執行此操作。 – 如果(在此路由器或您轉送的伺服器內)有任何實施錯誤或設定錯誤,它們將使您遭到駭客攻擊。至少標準連接埠會被壞人日日夜夜、在全球範圍內、完全自動化地持續掃描,就像永無止境的雨一樣。

  • 正常工作一段時間後,問題突然出現。那為什麼要改變這個功能呢?

  • 路由器的 ssh 守護程序顯然是為互聯網端服務的。 (或連接埠轉送不是在伺服器上結束而是在路由器上結束。但是為什麼?)這種情況突然發生,你甚至不知道如何啟用路由器的ssh連接埠。

正如您(和您的同事)所說,您沒有改變任何內容(您確定嗎?)必須考慮以下事項之一:

  1. 路由器的韌體或設定更新可能是錯誤的。
  2. 網路供應商的服務技術人員配置錯誤。
  3. 發生了黑客攻擊。

我會採取最壞的情況,如果事實證明是錯的,我會很高興。

接下來是什麼?

仔細檢查 Dropbear 是否確實託管在路由器上。根據該聲明的真實性,整個情況可能會改變。

如果屬實:

我懷疑您的路由器和伺服器(至少)已被入侵,並且有人未經授權打開了 ssh 連接埠。

收集資訊
  1. 如果您可以並且想要進行一些流量分析,請立即進行,然後中斷系統與網際網路的連線。
  2. 檢查日誌(路由器、伺服器、用戶端)是否有可疑條目(但它們可能已被操縱),尤其是在功能變更的時間跨度內。
  3. 檢查您的資料和安裝。
消除潛在風險

諮詢一些專業工具(例如惡意軟體檢查器)是個好主意。

  • 如果尚未完成,請中斷網路。
  • 進行一些緊急備份(不使用常規備份介質,而是保持離線狀態)
  • 重置路由器並最好安裝(重新安裝)韌體。您幾乎無法對後門採取更多措施。
    您可以複製路由器配置,但不要「儲存配置」和重置後「透過檔案復原配置」。您可能會重新套用一些不需要的設定。
  • 考慮一下如何處理您的伺服器。透過連接埠轉發,潛在的駭客可以直接接觸到它,可能會先入侵它,然後危害整個 LAN。
  • 考慮並決定您的客戶可能受到損害的可能風險(包括您同事的客戶!)。
重置後,需要考慮的一些事情
  • 在套用您的個人設定之前,請檢查路由器在 Internet 端和 LAN 端是否開放 ssh 連接埠。請務必了解如何啟用/停用此功能。
  • 如果您的同事需要外部 ssh 訪問,請選擇一個不常見的端口,最好在 10000 到 65535 之間,不要在數字中使用“22”。
  • 確保您正在配置什麼。只是在行動“哦,現在正好可以用了”這是一個壞主意。 ——準確清理試誤遺留問題。
  • 考慮一下真正的防火牆,它將您的互聯網可存取伺服器與 LAN 隔離。
  • 強化您的伺服器,因為它暴露在互聯網上
  • 如果您必須使用動態 DNS 供應商,請勿選擇路由器製造商提供的服務。這是針對硬體特定駭客的蜜罐。
  • 若要中斷與駭客資料庫的連接,請選擇不同的 DNS 名稱。如果您有固定的外部 IP 位址,請選擇變更它(如果可能)。

答案2

問題是我無法確定發生了什麼事。我的基本理解是調製解調器/路由器不應該弄亂資料包,只是傳遞它們,對吧?

嗯,不完全是。

其一,雖然路由器確實通常情況下不要弄亂IP 等級或以上的資料包(除了減少IP TTL),除了普通路由之外,您還可以使用NAT,並且NAT 實際上是「弄亂資料包」的一種形式,因為它涉及重寫L3 (IP)和 L4 (TCP/UDP) 標頭。 (這甚至是在我們進入 ALG 又名“NAT 助手”之前——例如,路由器實際上重寫了 FTP命令和回應使其透過 NAT 工作...)

但就你而言,這不是資料包混亂而是缺乏這就是造成差異的原因:

  • 回想一下,當您從外部連接時,您正在連接到路由器的公共IP位址。當「連接埠重定向」規則處於活動狀態(基本上是 DNAT)時,路由器會在傳遞每個封包之前重寫其「目標 IP」欄位(以便將它們路由到伺服器的內部 IP 位址)。

  • 當“連接埠重定向”規則為不是但是,如果處於活動狀態,則不會重寫任何內容 - 因此,如果您連接到路由器的 IP 位址,您實際上只是連接到...路由器。

路由器有自己的 SSH 伺服器是很正常的。但通常情況下,外部連線會 1) 被路由器的常規防火牆規則拒絕,2) 被「連接埠重定向」DNAT 規則覆蓋,因此路由器甚至不會將它們視為入站連線。但就你的情況而言,聽起來這些規則都沒有正常運作——DNAT 重寫沒有發生防火牆過濾器不會阻止入站連線。

所以如果我必須猜測(基於內部「NAT環回」的事實)似乎有效),這是某種配置問題(可能是 ISP 一夜之間部署了新配置),這導致過濾器和 NAT 規則都期望使用不同的介面作為「入口介面」。 (例如,WAN 介面可能是 eth0.3,但規則期望 WAN 介面是 eth0.4...)

  • 檢查重新啟動路由器或刪除並重新新增連接埠重新導向規則後是否消失。
  • 如果您為與平常不同的連接埠設定連接埠重新導向,請檢查是否仍發生這種情況。 (這並不能解決問題
  • 由於路由器被 ISP 鎖定,這確實是 ISP 的問題;致電他們的技術支持,要求他們更換路由器或其他東西。

相關內容