La inyección de claves públicas en ~/.ssh/authorized_keys es una de las tácticas más antiguas y efectivas para mantener acceso persistente tras una intrusión. Un atacante no necesita malware complejo; solo requiere escribir una línea en este archivo para recuperar el acceso a voluntad. Si no monitoreas esto, estás ciego ante la persistencia de bajo nivel en tus servidores Linux.

El Enfoque Técnico

No basta con analizar logs de autenticación (que pueden ser borrados o manipulados). Debes monitorear la integridad de los archivos críticos del sistema de archivos donde residen las claves.

Ejemplo Práctico con Wazuh (FIM)

La forma más escalable es utilizar el módulo FIM (File Integrity Monitoring) de Wazuh. Configura un syscheck específico para los directorios .ssh de usuarios críticos. Esto enviará una alerta en tiempo real ante cualquier modificación.

En tu ossec.conf (dentro del agente):

Al detectar un cambio, Wazuh generará una alerta de nivel alto. Puedes correlacionar esto con eventos de autenticación sospechosos (p. ej., un sshd login inmediato tras la modificación) para automatizar una respuesta activa y bloquear la IP de origen.

Mitigación y Hardening

Immutable Bit: Si tienes usuarios con llaves que no cambian, marca el archivo como inmutable:

  • chattr +i /home/usuario/.ssh/authorized_keys
  • (Esto impedirá modificaciones incluso por root, hasta que quites el atributo).
  • Restringir AuthorizedKeysFile: Asegúrate en sshd_config de que apunte a ubicaciones donde el usuario no tenga permisos de escritura arbitrarios.
  • Auditoría: Realiza escaneos periódicos con ls -laR ~/.ssh/ para verificar permisos 777 o archivos ocultos adicionales en directorios SSH.

Automatización Rápida (CLI)

Si sospechas de un compromiso actual, utiliza este comando para listar los archivos de claves y su fecha de modificación reciente:

$ find /home -name authorized_keys -exec ls -lct {} + | head -n 20

Daniel Maldonado

¡Hola! Soy Daniel Maldonado, Sr. Analista de Seguridad Informática y me dedico al hacking desde hace más de 10 años.

0 comentarios

Deja una respuesta

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Daniel Maldonado
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.