Mein Linux vSever wurde gehackt (r00t)

Hallo Leute,

ein von mir unbekannter Benutzer hat sich angemeldet. Er heißt r00t. Ich weiß es nicht, wie es geschehen ist. Interessant, dass er über tty1 sich angemeldet hat. Das ist KVM Konsol !? Dieser Benutzer war in der sudo Gruppe und meine SSH port hat er geändert. Hat jemand idee? Hier der log:

reboot system boot 4.15.0-96-generi Mon Apr 20 07:28 still running
r00t tty1 Sun Apr 19 15:58 - crash (15:29)
reboot system boot 4.15.0-96-generi Sun Apr 19 15:58 still running
balazs pts/0 80.187.105.183 Sun Apr 19 10:30 - 10:37 (00:06)
r00t tty1 Sun Apr 19 08:12 - down (07:45)

Grüße
Balazs

Wir haben das gleiche Problem gerade, mal sehen was der Support Antwortet.

Guten Abend,

ich bin unsicher, ob es damit verbunden ist, aber ich habe mich gewundert, dass nach einer frischen Installation, ein Key in der Datei /root/.ssh/authorized_keys besteht.

Damit kann sich der Besitzer dieses Keys als root per ssh anmelden…

@Support: kennt ihr den Besitzer dieses Keys?

Viele Grüße
Maged Hajal

Wenn es sich um einen Linux LXC Server handelt, befindet sich ein zufälliger SSH Private Key in deinem Ordner, welchen Du nach der Installation im Webinterface einsehen / runterladen kannst. Dieser wird individuell für jeden Server zufällig erstellt und ist nur für dich zugänglich.

Es ist immer ratsam, seinen Server direkt nach der Installation abzusichern, dazu stellen wir hier auch einige Anleitungen bereit (Fail2Ban, Rootlogin per SSH verbieten, SSH Port ändern (Ja fragliche Erfolgschancen), generell statt Passwörter nur Keys erlauben usw…)

@Balazs Bitte erstelle auch gerne mal ein Support-Ticket, damit wir uns deinen Fall genauer ansehen können. Hast Du einen KVM oder LXC vServer?

@Maged Auch Du kannst mir gerne mal per Nachricht deine IP schicken, damit ich überprüfen kann, ob alles in Ordnung ist. Hast Du denn einen LXC oder KVM Server?