neuer SSH-Fingerprint

[schroedi]

Hallo, ich habe mich gerade eben auf meinem Rootie eingeloggt und musste feststellen, dass mir ssh sagt, dass der Fingerprint nicht dem gespeicherten entspricht... :-??

Aber chkrootkit gibt nur die folgenden Infos aus

Code: Select all

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not infected
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not found
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not found
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not found
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/cgi-bin/awstats/.htaccess

Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'...   eth0 is not promisc
Checking `wted'... nothing deleted
Checking `z2'...
nothing deleted

vor allem sehr verwunderlich, weil die ersten & beiden letzten Stellen meines Fingerprints sich nicht verändert hatten.

Und nun ?? Was kann ich jetzt noch tun ???

schroedi

[darkspirit]

Es ist schwer zu sagen, was da passiert ist. Normalerweise ändert sich der Fingerprint nicht einfach so.. Wenn du die Verbindung blind akzeptiert hast, könnte es sein, dass du in eine man-in-the-middle attack gelaufen bist, aber das halte ich für unwahrscheinlich. Wo steht dein Server? Bei einem gewissen Hoster hab ich schon von derartigen Problemen gehört, will mich jetzt aber nicht näher dazu äußern.

[Edit] chkrootkit hilft dir da wohl nur wenig weiter[/Edit]

[schroedi]

1&1

Code: Select all

schroedi@linux:~> ssh www........de
Warning: the RSA host key for 'www......de' differs from the key for the IP address '2.......8'
Offending key for IP in /home/schroedi/.ssh/known_hosts:7
Matching host key in /home/schroedi/.ssh/known_hosts:8
Are you sure you want to continue connecting (yes/no)?

Nun eigentlich habe ich nix unachtsam angenommen und auch nichts angeklickt...hmmmmmm?

[dodolin]

Was ist, wenn du beim ssh-commando nicht den hostnamen, sondern direkt die IP angibst? Kommt die Fehlermeldung mit dem veränderten Hostkey reproduzierbar, oder war das einmalig? Hast du den veränderten Hostkey bereits akzeptiert und damit eine Verbindung aufgebaut, oder schön brav dann immer abgebrochen?

[schroedi]

mit der IP kommt selbiges zum angucken.

mmmm.

Code: Select all

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
98:86:b3:e7:6b:4c:54:44:49:46:fa:70:09:32:28:76.
Please contact your system administrator.
Add correct host key in /home/schroedi/.ssh/known_hosts to get rid of this 
message.

Bei dieser Meldung kann man nur abbrechen :-O

Bei der Meldung 2 Threads weiter oben haben ich nicht abgebrochen. Schlimm ????

[captaincrunch]

Ganz doofe Frage: Du hast nicht rein zufällig ins Rescuesystem gebootet?

[schroedi]

nein, das wüste ich...
leider finde ich im netz auch nichts brauchbares.

das Cdate ist auf dem Server auch ok.
:?:
was habe ich denn zu befürchten.....?
Ich logge mich nie via ssh root@..... ein, sondern mitm arbeitsnamen, normaler User ohne root rechte.

urg!

[captaincrunch]

http://www.linuxjournal.com/article.php?sid=6909

[dodolin]

Da du dich beim ersten Mal bereits eingeloggt hast, ist es eigentlich eh schon zu spät, falls sich da jemand unberechtigt Zugriff verschafft hat oder eine erfolgreiche MITM Attacke gemacht hat. Ich würde an deiner Stelle trotzdem mal ins Rescue booten und schauen, wo der neue Hostkey herkommt, wann er angelegt wurde und was zu dieser Zeit noch so in sämtlichen Logfiles steht.

[schroedi]

99% der Fehler sitzen vor dem Rechner

Ich war die vergange Woche krank und arbeitete nicht an dem Client an dem ich gestern war.

Zwischenzeitlich habe ich den Server neu aufgesetzt. SuSE runter Debian drauf.

Mo & Di habe ich mich über einen andere Domain eingeloggt.
Gestern abend dann mit der ursprüngliche, die mit dem "alten" Pub Key.

Deswegen auch die Fehlermeldung

Danke fürs helfen :-)
Vielleicht bin ich etwas zu vorsichtig :-?


schroedi

[captaincrunch]

Vielleicht bin ich etwas zu vorsichtig

Man kann nie vorsichtig genug sein. ;)

[nyxus]

Man kann nie vorsichtig genug sein. ;)

Genau, nur weil ich paranoid bin heißt das ja nicht, daß SIE nicht doch hinter mir her sind ... ;-)