Re: ssh
Em Qui, 2007-10-25 às 15:22 -0300, Davi escreveu:
> Em Qui 25 Out 2007, Renato S. Yamane escreveu:
> > maike escreveu:
> > > Alexander escreveu:
> > >>Tentei fazer um acesso remoto do meu etch para outro etch server e
> > >> saiu isso:
> > >>
> > >> @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
> > >> @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
> > >> @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
> > >> IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
> > >> Someone could be eavesdropping on you right now (man-in-the-middle
> > >> attack)!
> > >> It is also possible that the RSA host key has just been changed.
> > >> The fingerprint for the RSA key sent by the remote host is
> > >> 4a:ea:46:3e:1e:53:22:38:f0:79:23:a8:74:7f:88:f3.
> > >> Please contact your system administrator.
> > >> Add correct host key in /root/.ssh/known_hosts to get rid of this
> > >> message.
> > >> Offending key in /root/.ssh/known_hosts:1
> > >> RSA host key for 10.46.248.1 <http://10.46.248.1> has changed and
> > >> you have requested strict checking.Host key verification failed.
> > >
> > > edita esse arquivo
> > > /root/.ssh/known_hosts
> > > e apaga a 1 linha
> >
> > O servidor dele *pode* estar no meio de um atauqe e você diz para editar
> > o arquivo? :-)
> >
> > Tire ele da rede e leia isso:
> > <http://www.debian.org/doc/manuals/securing-debian-howto/ch-after-compromis
> >e.pt-br.html>
> >
>
> O servidor dele *pode* estar no meio de um ataque e você diz para ele tirar
> da rede? :-)
>
> "Se você estiver presente fisicamente quando o ataque ocorrer, sua primeira
> obrigação é retirar a máquina da rede, desconectando o cabo de rede da placa
> (se isso não for influenciar as transações dos negócios). Desativando a rede
> na camada 1 é a única forma de manter o invasor longe da máquina comprometida
> (conselho sábio de Philip Hofmesiter).
>
> Entretanto, alguns rootkits ou backdoors são capazes de detectar este tipo de
> evento e reagir a ele. Ver um rm -rf / sendo executado quando você desativa a
> rede não é muito engraçado. Se você se nega a correr o risco e tem certeza
> que o sistema foi comprometido, você deve desconectar o cabo de energia
> (todos eles se existirem mais de um) e cruzar os dedos."
>
> hehehe
>
> Abraço
Não sejamos exagerados, é mais provável que a placa de rede tenha sido
trocaca, ou que tenham mudado o MAC address da interface.
Alexander, verifique se houve troca de hardware, ou se reconfiguraram a
máquina para usar outra interface de rede (se a máquina tem duas placas,
por exemplo).
--
Krishna
Reply to:
- Follow-Ups:
- Re: ssh
- From: "Felipe Augusto van de Wiel (faw)" <faw@funlabs.org>
- References:
- ssh
- From: Alexander <alexkurumin@gmail.com>
- Re: ssh
- From: maike <maiquelconsalter@gmail.com>
- Re: ssh
- From: "Renato S. Yamane" <renatoyamane@mandic.com.br>
- Re: ssh
- From: Davi <davividal@siscompar.com.br>