Re: ssh

To: debian-user-portuguese <debian-user-portuguese@lists.debian.org>
Subject: Re: ssh
From: "Krishnamurti L. L. V. Nunes" <krishnalelis@gmail.com>
Date: Thu, 25 Oct 2007 15:17:01 -0300
Message-id: <[🔎] 1193336221.15838.4.camel@marx>
In-reply-to: <[🔎] 200710251522.13134.davividal@siscompar.com.br>
References: <[🔎] 3cb4c3580710250914t35e07c52gdb9965239b670a92@mail.gmail.com> <[🔎] 62fc1a960710250923y54a29d1fge2afb118bfad16f8@mail.gmail.com> <[🔎] 4720C786.7050407@mandic.com.br> <[🔎] 200710251522.13134.davividal@siscompar.com.br>

Em Qui, 2007-10-25 às 15:22 -0300, Davi escreveu:
> Em Qui 25 Out 2007, Renato S. Yamane escreveu:
> > maike escreveu:
> > > Alexander escreveu:
> > >>Tentei fazer um acesso remoto do  meu etch para outro etch server e
> > >> saiu isso:
> > >>
> > >> @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
> > >> @    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
> > >> @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
> > >> IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
> > >> Someone could be eavesdropping on you right now (man-in-the-middle
> > >> attack)!
> > >> It is also possible that the RSA host key has just been changed.
> > >> The fingerprint for the RSA key sent by the remote host is
> > >> 4a:ea:46:3e:1e:53:22:38:f0:79:23:a8:74:7f:88:f3.
> > >> Please contact your system administrator.
> > >> Add correct host key in /root/.ssh/known_hosts to get rid of this
> > >> message.
> > >> Offending key in /root/.ssh/known_hosts:1
> > >> RSA host key for 10.46.248.1 <http://10.46.248.1> has changed and
> > >> you have requested strict checking.Host key verification failed.
> > >
> > > edita esse arquivo
> > > /root/.ssh/known_hosts
> > > e apaga a 1 linha
> >
> > O servidor dele *pode* estar no meio de um atauqe e você diz para editar
> > o arquivo? :-)
> >
> > Tire ele da rede e leia isso:
> > <http://www.debian.org/doc/manuals/securing-debian-howto/ch-after-compromis
> >e.pt-br.html>
> >
> 
> 	O servidor dele *pode* estar no meio de um ataque e você diz para ele tirar 
> da rede? :-)
> 
> "Se você estiver presente fisicamente quando o ataque ocorrer, sua primeira 
> obrigação é retirar a máquina da rede, desconectando o cabo de rede da placa 
> (se isso não for influenciar as transações dos negócios). Desativando a rede 
> na camada 1 é a única forma de manter o invasor longe da máquina comprometida 
> (conselho sábio de Philip Hofmesiter).
> 
> Entretanto, alguns rootkits ou backdoors são capazes de detectar este tipo de 
> evento e reagir a ele. Ver um rm -rf / sendo executado quando você desativa a 
> rede não é muito engraçado. Se você se nega a correr o risco e tem certeza 
> que o sistema foi comprometido, você deve desconectar o cabo de energia 
> (todos eles se existirem mais de um) e cruzar os dedos."
> 
> 	hehehe
> 
> 	Abraço



Não sejamos exagerados, é mais provável que a placa de rede tenha sido
trocaca, ou que tenham mudado o MAC address da interface.

Alexander, verifique se houve troca de hardware, ou se reconfiguraram a
máquina para usar outra interface de rede (se a máquina tem duas placas,
por exemplo).

--
Krishna

Reply to:

Follow-Ups:
- Re: ssh
  - From: "Felipe Augusto van de Wiel (faw)" <faw@funlabs.org>

References:
- ssh
  - From: Alexander <alexkurumin@gmail.com>
- Re: ssh
  - From: maike <maiquelconsalter@gmail.com>
- Re: ssh
  - From: "Renato S. Yamane" <renatoyamane@mandic.com.br>
- Re: ssh
  - From: Davi <davividal@siscompar.com.br>

Prev by Date: Desabilitando ACK do TCP/IP
Next by Date: Re: Desabilitando ACK do TCP/IP
Previous by thread: Re: ssh
Next by thread: Re: ssh
Index(es):
- Date
- Thread