Linux 服务器 ssh publickey 入侵

需要看看 public 用户.ssh/authorized_keys 里面内容

看看安装这些的时候有没有用不知从哪拷过来的一键脚本......

之前听说 xshell 带后门，你不会用的 xshell 吧，密码泄露

只有公钥是不足以造成数据泄露的，必须还要有对应的私钥才能解密。楼主甚至可以把公钥和 IP 贴出来，这里也没有人能够成功入侵服务器(当然 IP 贴出来被人扫端口无法阻止)。如果真的被有效入侵，肯定私钥也被泄露了

1 、SSH 不管使用多复杂的密码登录, 理论上都是不安全的
2 、日常使用中如果有使用一键脚本, 则脚本内可能有私货
3 、如果使用有漏洞的客户端工具, 包括某些版本的 xshell 、破解版的各种客户端、国内小网站下载的 putty, 则可能被植入后门
4 、内鬼

我先来一波，我有台服务器运行着 sshd 进程，地址是: [email protected]:22
authorized keys 里有一个 RSA Key 如下:
ssh-rsa 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 rz@patrick-ren.com
欢迎各位骚扰, 80 端口是我正在开发的个人主页: http://158.247.203.9 有暗黑模式哟

@vision1900 楼上是蜜罐吗？

直接用了 root 账号，ssh 默认端口 也没有修改，SSL/TLS 也没加，等待被教育

@mrzx 可能是吧，专门吃🐍的

我们服务器也被挖矿处理了，现在还没找到痕迹

@vision1900 我相信你给做安全服务的公司足够的经费，会好好教育你的。。。不然天底下没有免费的午餐。获取你的数据也没有任何实际变现的价值。不然还免费帮你做安全加固？哪有那么好的事。。

楼上想偏了，这种并不是破解了已经添加到 authorized_keys 的密钥，而是通过别的手段把攻击者的公钥加到了 authorized_keys 里面，之后攻击者再正常登录进来

别的程序漏洞，公钥被写进去的吧

@vision1900 #6 @livid 这……帮忙删了吧

可能是 redis 暴露在公网了。

@Whalko 我仔细去 about 页面看了下，#6 并没有违反任何一条规则. 贴出来也只是为了验证 SSH 公钥是可以与任何人分享而不用担心安全的

@vision1900 对不起，我的问题。没看清错以为你把私钥发出来了。= = 我想这也太危险了

@Whalko
@vision1900

pub keys 是可以在网上贴出来的。各位可以试试这个地址：

https://github.com/your_github_username.keys

服务器上的恶意程序向.authorized_keys 写入了公钥，或者客户端上的恶意程序（比如各种 ssh 连接工具）获知了私钥

可能是先入侵了其它权限更高的用户，再用 public 用户跑挖矿。
或者对外服务有 rce 之类的漏洞，人家直接写了一个 key 进来。