Himiko

Кстати, вот ещё вариант.

Возможно злоумышленник и не чистил следы, т.к. был уверен, что на дисках ничего не останется и не восстановится.

Я уже писал вариант. Пароль мог сменить хостер, если бы догадался или просто планово. А ключ - это второй вариант входа, если пароль сменят.

Если бы он убрал явное упоминание о компьютере из ключа, то искали бы "ветра в поле". Возможно не увидел это или банально поторопился. Может сервер просто стал не доступен из-за его действий и не получилось удалить ключ.

Вот это не бред разве?

У всех подряд есть действующий ssh-ключ, т.к. он был обнаружен на одном из серверов, которые админит ArtemZ.

Какой-нибудь из саппорта сотрудник если уйдёт, то либо бояться постоянно, либо у всех ключи менять разом? жесть, имхо.

# ls -la

total 20

drwx------ 2 root root 4096 Aug 21 10:59 .

drwxr-x--- 5 root root 4096 Aug 21 10:36 ..

-rw------- 1 root root 402 Aug 20 07:22 authorized_keys2

-rw-r--r-- 1 root root 394 Aug 6 16:37 known_hosts

Переименован файл специально.

Видно, что доступ работал уже после его модификации.

Вряд ли кто-то подправлял так точно время.

Ну хоть определились, что хостер не мог фальсифицировать логи.

Ну вот это сейчас сложно узнать. Если бы ТС просто решил его обвинить на основе каких-то логов (типа cd himiko), то был бы другой вопрос.

Просто когда 1-2 совпадения, это фиг с ним. Но здесь их больше. Столько совпадений сложно получить. Да и зайти с какой-то прокси, с которой сидит ArtemZ (а этого никто не знал и не узнал бы, если бы случайно на один пост не попали) для подставы, глупо, имхо.

Да здесь лопух/не лопух, но можно действительно что-то не учесть. Человеческий фактор.

Можно предусмотреть всё, что угодно, а вот на какой-нибудь мелочи сглупить жестоко.

Я не думаю, что ArtemZ (если это сделал он), каждый день взламывает сервера. На сколько я знаю, у него другой основной вид деятельности.

P.S.: И зачем грамотному хакеру, который предусмотрел всё, что угодно (ssh, та же прокси и т.д.), чтобы подставить ArtemZ не догадался даже почистить за собой логи? Логи можно было более красивые и "подставные" сделать. Подставить можно было на много прозрачнее, да и использовать тот же самый прокси, не каждый бы догадался. Если бы в одном из постов я бы он бы не упомянул этот прокси, я бы даже и не узнал об этом. Глупо пытаться подставлять тем, что сложно реализовать и вряд ли кто-то заметит. Ведь существует масса более лёгких по реализации вариантов подставы.

Это массовый не дорогой хостинг, здесь всё немного сложнее.

Для нескольких программистов (если сервер под какой-то проект) можно и ограничения по ip сделать и вход по ключам и т.д. и т.п.

Хотя вход рутом можно запретить, либо только по запороленному ssh-ключу.

и то и другое.

1. Обиженный саппорт - не умение общаться с клиентом.

2. Не понимание вопроса и даже без попыток уточнить - тех. грамотность.

Фуфло в том, что очень уж много "совпадений" и много нужно знать о ArtemZ, чтобы вот так его подставить.

1. Ключ ssh действующий и принадлежит ему.

2. В ключе явно прописан компьютер и юзер, на котором он генерировался. По ссылке на его пост видно, что он сидит с этого же компа.

3. Человек зашёл именно с той же прокси, с которой сидит ArtemZ.

4. Было несколько заходов в разное время. Если подменить ключ ssh, то нужно зайти потом под паролем, этого не произошло. Время изменения ключа совпадает со временем, когда злоумышленник в первый раз зашёл с логином/паролем. Вывод - заходили именно через этот ключ, иначе бы просто не пустило. В логах видно, что после первого захода по паролю, все заходы были через ключ. Значит он вполне работал. Может ещё для подставы получили доступ к его компьютеру и украли private key ?

Не знаю как другие, но я в совпадения такие не верю. Да чтобы так подставить (если бы вдруг хотели), нужно столько работы провести и видимо ещё и иметь доступ физический к его компьютеру.