"The ECDSA host key for ... has changed"



  • Beim Versuch einer SSH-Verbindung mit einem meiner VPS bekomme ich die Meldung im Titel. Ich habe das System im Rescue-Modus neugestartet und mir die Logdateien angesehen.

    Folgenden Auszug aus der /var/log/auth.log finde ich verdächtig:

    `Mar 4 22:37:54 vps sshd[29540]: Connection closed by 202.59.166.5 [preauth]

    Mar 4 22:39:16 vps sshd[29542]: Connection closed by 51.254.210.170 [preauth]

    Mar 4 22:42:14 vps sshd[29544]: Connection closed by 51.254.210.170 [preauth]

    Mar 4 22:45:11 vps sshd[29546]: Connection closed by 51.254.210.170 [preauth]

    Mar 4 22:48:08 vps sshd[29548]: Connection closed by 51.254.210.170 [preauth]

    Mar 5 03:27:03 vps systemd-logind[602]: Watching system buttons on /dev/input/event0 (Power Button)

    Mar 5 03:27:03 vps systemd-logind[602]: New seat seat0.

    Mar 5 03:33:16 vps passwd[1458]: password for 'ubuntu' changed by 'root'

    Mar 5 03:33:16 vps sshd[1468]: Server listening on 0.0.0.0 port 22.

    Mar 5 03:33:16 vps sshd[1468]: Server listening on :: port 22.

    Mar 5 04:17:01 vps CRON[1572]: pam_unix(cron:session): session opened for user root by (uid=0)

    Mar 5 04:17:01 vps CRON[1572]: pam_unix(cron:session): session closed for user root

    Mar 5 04:56:37 vps systemd-logind[602]: Power key pressed.

    Mar 5 04:56:37 vps systemd-logind[602]: Powering Off...

    Mar 5 04:56:37 vps systemd-logind[602]: System is powering down.

    Mar 5 04:56:37 vps sshd[1468]: Received signal 15; terminating.

    Mar 5 04:56:51 vps systemd-logind[606]: Watching system buttons on /dev/input/event0 (Power Button)

    Mar 5 04:56:51 vps systemd-logind[606]: New seat seat0.

    Mar 5 04:56:57 vps sshd[889]: Server listening on 0.0.0.0 port 22.

    Mar 5 04:56:57 vps sshd[889]: Server listening on :: port 22.

    Mar 5 05:17:01 vps CRON[914]: pam_unix(cron:session): session opened for user root by (uid=0)`

    Es sieht so aus, als wäre der Server um 22:48 abgeschalten worden, zumindest meldete sich ab diesem Zeitpunk auch ein auf dem Server laufender Dienst nicht mehr.
    Was hat es auf sich mit dem "password for 'ubuntu' changed by 'root'" danach?
    Kann das und der veränderte host key legitime Ursachen haben? Post vom ISP, welche den Vorgang erklären könnte habe ich jedenfalls nicht bekommen.



  • Kannste mal heute nacht um 4 das Gerät stromlos machen und morgen früh schauen, ob wieder so Zeilen kommen?



  • Hab ich gemacht, aber das hat diesmal niemanden interessiert. Der Server ist immer noch ausgeschaltet.
    Es scheint sich aber um keinen Angriff von außen zu handeln. Ich habe gesehen, dass zu dem Zeitpunkt auch in /home/ubuntu/.ssh/authorized_keys ein mit E-Mail-Adresse des Hosters versehener Key hinterlegt wurde, vermutlich wollte also ein Mitarbeiter nach dem rechten sehen. Gab es bei Linux nicht einen Mechanismus, mit dem man eine Root-Shell über seriellen Port bekommen kann? Warum dabei auch neue SSH-Keys erzeugt wurden ist mir allerdings immer noch schleierhaft.

    Naja, das Einrichten dauert nur ein paar Minuten, deswegen werde ich das Betriebssystem sicherheitshalber trotzdem neu installieren.


Log in to reply