Search
Write a publication
Pull to refresh

Comments 5

Как-то не продуманно, если влез подбором пароля - это ещё не значит что хозяин туда не по ключу ходит, мог просто забыть закрыть. Снесут .ssh - сразу вспомнит, зайдет по паролю же и исправит.

А сам скрипт пароль не отключает..

Видимо, упор ботоводы делали на массовость, а не на устойчивость доступа: такой скрипт проще и быстрее выполнить, чем сохранять все пароли, которые были получены подбором. Да и кто знает, может пароль поменяют?

Так нет, речь про то, чтобы не затирать существующий authorized_keys, а дописывать свой ключик в конец. Просто убрав "rm -rf ~/.ssh", без всяких сложностей.

Скорее всего, по изначальному замыслу создателя бота ключик и дописывался в конец authorized_keys (иначе зачем там ">>", а не ">", если мы только что всё потёрли). А потом очередной кулхацкер столкнулся с какой-нибудь нетипичной ситуацией (разрешения хитрые, опции ssh и т.п.) и решил её топорным добавлением "rm -rf ~/.ssh".

Мониторить изменения в .ssh/authorized_keys

Надо просто заранее сделать authorized_keys неизменяемым, через chattr +i

Sign up to leave a comment.

Articles