私のマシンの違反

この重要な変更を引き起こす可能性のある他の良性のものがあることに注意する必要があります。

たとえば、ほとんどのSSHクライアントは、ホスト名とフィンガープリントを介してキャッシュを構築します。この問題は、同じIP（ただし異なるネットワーク）上の多数のマシンに関係しているため、私の仕事で多く発生します。したがって、sshクライアントはIPと指紋のみを保存し、異なるネットワーク上にあるという事実を無視します。別のマシン（ねえ、どうやってそれを知ることができますか？）。システムの再インストールを行った場合（通常、キーはインストール中に生成されます）、またはホスト名がシェル化した別のマシンを参照するために使用された場合にも、同じ警告が表示されます。

キーが変更され、マシンが同じである場合、この変更の理由があるかどうかを考え直す必要があります。最近sshdをいじっていますか？一部のディストリビューションは、sshdが再インストール/再コンパイルされると、新しいキーを生成します。

上記のいずれにも当てはまらない場合、考えられるシナリオは、誰かが中間者攻撃を行っていることです。簡単に言えば、サーバーになりすましたマシンで、ログインしようとしたときにログイン情報を取得できるようにします。これを実行するには、誰かがマシンのアドレス/ホスト名を偽装するか、いずれかを制御する必要があります。あなたとあなたのマシンの間のデータトランジットポイント（ルーター、ブリッジなど）。

マシンに入ると（適切なコマンドラインでsshクライアントに切り替えるか、/ home/username/.ssh/unknown_hostsから問題のあるキーを削除することにより）、侵入検知の最初のチェックは次のようになります。

• find/etc/-mtime -3（過去3日間に変更された/ etc /内のファイルを検索します。問題が発生するたびに重複するように番号を微調整します）
• / var/logの適切なログを確認します（セキュア、メッセージなど）
• システムにログオンしている人が他にいないかどうかを確認します
• 上記のfindコマンドを使用して、存在してはならないWebルートの変更を検索します（phpスクリプトにバックドアをインストールすることは不正アクセスを取得する一般的な方法です）

マシンに物理的にアクセスできる場合は、キーボード/モニターにアクセスして、シングルユーザーモードで再起動します。これにより、これらのチェックを実行している間、あなたとあなただけがシステム上にいることが保証されます。

侵入を確認した後、最初のステップはシステムをクリーンアップすることです。重要なことは何もないので、完全に再インストールするのが最善の方法です。かなりの期間、他の誰かの管理下にあったシステムをクリアするのは非常に難しいからです。 （不正アクセスを維持するために、多くのバックドアをインストールすることが何度もありました）。

2番目のステップは、システムが最初にどのように侵害されたかを追跡し、それが二度と起こらないようにすることです。

Linuxを使用していると仮定している場合、最初のステップは rkhunter ファイルの変更や感染がないかどうかを確認することです。