Hej lysiter,
Som många av er har hört vart vår hemdisk, shana.lysator.liu.se, utsatt för
dataintrång som upptäcktes 2017-01-07. Efter detta så har vi rötter
installerat
en temporär ny hemdisk som vi återställt data ifrån våran backup server. I
samband med återställandet av data så passade vi även på att köra
virusskanning
av alla hemmappar och manuellt plockade bort filer med kända hot (dessa
var dock endast
temporära filer som tur var, e.g. webbläsare cache).
Efter detta så flyttade vi även alla användares .ssh map till .ssh-old:
/home/<användarnamn>/.ssh -> /home/<användarnamn/.ssh-old
Anledningen till denna flytt av mappar är att den som orsakat intrånget
kan ha kopierat
eller ändrat i dessa filer för att ha en väg tillbaka in i våra system. Vi
rekommenderar därför att användare roterar (skapar nya) sina ssh nycklar
som använts i våra
system (det gäller även att uppdatera tjänster såsom github, gitlab,
bitbucket etc.
där dessa nycklar har använts). Det är extra viktigt att om ni tänkt
återanvända
er gamla authorized_keys fil:
/home/<användarnamn/.ssh-old/authorized_keys
Att ni kollar extra noga att det inte finns en nyckel som ni inte känner
igen
eller har använt internt i våra system innan (alltså att dess nyckel har
varit i
våra system).
Nu ska alla våra system vara uppe och vi i rootgruppen arbetar vidare
med att
fixa en kraftigare hemdisk samt en maskin som är en spegling av hemdisk
vilket
vi ska kunna slå över till ifall något händer med ordinarie.
Angående data som inte fanns på backup servern så ska man inte räkna med
att det
går att återställa. Detta är typiskt data som användare själva explicit
satt att
det ska exkluderas ifrån backup samt ändringar som gjorts mellan den tid som
backup togs och shana.lysator.liu.se togs ned.
-- Med vänliga hälsningar, Rasmus Holm, Superroot, en av Lysators rötter
