Hej lysiter,

Som många av er har hört vart vår hemdisk, shana.lysator.liu.se, utsatt för dataintrång som upptäcktes 2017-01-07. Efter detta så har vi rötter installerat en temporär ny hemdisk som vi återställt data ifrån våran backup server. I samband med återställandet av data så passade vi även på att köra virusskanning av alla hemmappar och manuellt plockade bort filer med kända hot (dessa var dock endast temporära filer som tur var, e.g. webbläsare cache).

Efter detta så flyttade vi även alla användares .ssh map till .ssh-old:

/home/<användarnamn>/.ssh -> /home/<användarnamn/.ssh-old

Anledningen till denna flytt av mappar är att den som orsakat intrånget kan ha kopierat eller ändrat i dessa filer för att ha en väg tillbaka in i våra system. Vi rekommenderar därför att användare roterar (skapar nya) sina ssh nycklar som använts i våra system (det gäller även att uppdatera tjänster såsom github, gitlab, bitbucket etc. där dessa nycklar har använts). Det är extra viktigt att om ni tänkt återanvända er gamla authorized_keys fil:

/home/<användarnamn/.ssh-old/authorized_keys

Att ni kollar extra noga att det inte finns en nyckel som ni inte känner igen eller har använt internt i våra system innan (alltså att dess nyckel har varit i våra system).

Nu ska alla våra system vara uppe och vi i rootgruppen arbetar vidare med att fixa en kraftigare hemdisk samt en maskin som är en spegling av hemdisk vilket vi ska kunna slå över till ifall något händer med ordinarie.

Angående data som inte fanns på backup servern så ska man inte räkna med att det går att återställa. Detta är typiskt data som användare själva explicit satt att det ska exkluderas ifrån backup samt ändringar som gjorts mellan den tid som backup togs och shana.lysator.liu.se togs ned.

-- Med vänliga hälsningar, Rasmus Holm, Superroot, en av Lysators rötter