Ключи SSH были изменены/восстановлены на облачном сервере Hetzner, я получил предупреждение «идентификация удаленного хоста изменена».

У меня есть небольшой облачный сервер на Hetzner, который я ежедневно включаю (используя Hetzner API) с моего домашнего сервера в 3 часа ночи, а затем я вхожу туда через SSH, делаю какую-то работу, а затем выключаю его (все это автоматический процесс)

Месяц все было хорошо, я не трогал ни свой домашний сервер, ни облачный сервер, но сегодня мне пришло письмо с предупреждением

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@
@ ВНИМАНИЕ: ИДЕНТИФИКАЦИЯ УДАЛЕННОГО ХОСТА ИЗМЕНИЛАСЬ! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@
ВОЗМОЖНО, ЧТО КТО-ТО ДЕЛАЕТ ЧТО-ТО НЕЧЕТНОЕ!
Кто-то может подслушивать вас прямо сейчас (атака «человек посередине»)!
Также возможно, что ключ хоста был только что изменен.
Отпечаток ключа ECDSA, отправленный удаленным хостом,

Это было очень подозрительно, так как на моих серверах не было никаких изменений, поэтому я вошел в систему и проверил /var/log/auth.log :

10 декабря 03:02:19 htznr useradd[1007]: новая группа: имя=ubuntu, GID=1001
10 декабря 03:02:19 htznr useradd[1007]: новый пользователь: name=ubuntu, UID=1001, GID=1001, home=/home/ubuntu, shell=/bin/bash
10 декабря 03:02:19 htznr useradd[1007]: добавьте «ubuntu» в группу «adm»
10 декабря, 03:02:19 htznr useradd[1007]: добавить «ubuntu» в группу «dialout»
10 декабря 03:02:19 htznr useradd[1007]: добавьте «ubuntu» в группу «cdrom»
10 декабря 03:02:19 htznr useradd[1007]: добавьте «ubuntu» в группу «дискеты»
10 декабря 03:02:19 htznr useradd[1007]: добавить «ubuntu» в группу «sudo»
10 декабря 03:02:19 htznr useradd[1007]: добавить «ubuntu» в группу «аудио»
10 декабря 03:02:19 htznr useradd[1007]: добавить «ubuntu» в группу «dip»
10 декабря 03:02:19 htznr useradd[1007]: добавьте «ubuntu» в группу «video»
10 декабря 03:02:19 htznr useradd[1007]: добавить «ubuntu» в группу «plugdev»
10 декабря 03:02:19 htznr useradd[1007]: добавьте «ubuntu» в группу «lxd»
10 декабря 03:02:19 htznr useradd[1007]: добавить «ubuntu» в группу «netdev»
10 декабря 03:02:19 htznr useradd[1007]: добавьте «ubuntu» в теневую группу «adm»
10 декабря, 03:02:19 htznr useradd[1007]: добавить «ubuntu» в теневую группу «dialout»
10 декабря 03:02:19 htznr useradd[1007]: добавьте «ubuntu» в теневую группу «cdrom»
10 декабря 03:02:19 htznr useradd[1007]: добавьте «ubuntu» в теневую группу «дискета»
10 декабря, 03:02:19 htznr useradd[1007]: добавьте «ubuntu» в теневую группу «sudo»
10 декабря, 03:02:19 htznr useradd[1007]: добавьте «ubuntu» в теневую группу «audio»
10 декабря, 03:02:19 htznr useradd[1007]: добавьте «ubuntu» в теневую группу «dip»
10 декабря, 03:02:19 htznr useradd[1007]: добавьте «ubuntu» в теневую группу «video»
10 декабря, 03:02:19 htznr useradd[1007]: добавьте «ubuntu» в теневую группу «plugdev»
10 декабря 03:02:19 htznr useradd[1007]: добавьте «ubuntu» в теневую группу «lxd»
10 декабря, 03:02:19 htznr useradd[1007]: добавить «ubuntu» в теневую группу «netdev»
10 декабря, 03:02:19 htznr passwd[1014]: пароль для «ubuntu» изменен на «root»
10 декабря 03:02:19 htznr systemd-logind[1057]: новое место seat0.
10 декабря, 03:02:19 htznr systemd-logind[1057]: просмотр системных кнопок на /dev/input/event0 (кнопка питания)
10 декабря, 03:02:19 htznr systemd-logind[1057]: просмотр системных кнопок на /dev/input/event1 (клавиатура AT Translated Set 2)
10 декабря, 03:02:19 htznr sshd[1094]: сервер прослушивает порт 222 0.0.0.0.
10 декабря, 03:02:19 htznr sshd[1094]: сервер прослушивает :: порт 222.

03:02:19 — когда машина была включена. Как видите, пользователь «ubuntu» был создан с паролем.

Я также понял, что все ключи в /etc/ssh/ были изменены:

-rw------- 1 root root 672 10 декабря 03:02 ssh_host_dsa_key
-rw-r--r-- 1 root root 598 10 декабря 03:02 ssh_host_dsa_key.pub
-rw------- 1 root root 227 10 декабря 03:02 ssh_host_ecdsa_key
-rw-r--r-- 1 root root 170 10 декабря 03:02 ssh_host_ecdsa_key.pub
-rw------- 1 root root 399 10 декабря 03:02 ssh_host_ed25519_key
-rw-r--r-- 1 root root 90 10 декабря 03:02 ssh_host_ed25519_key.pub
-rw------- 1 root root 1.7K 10 дек. 03:02 ssh_host_rsa_key
-rw-r--r-- 1 root root 390 10 декабря 03:02 ssh_host_rsa_key.pub

Что может быть причиной? Я захожу на сервер, используя IP-адрес Hetzner.

Я беспокоюсь, потому что знаю, что многие боты пытаются войти в систему с обычными именами пользователей, такими как «centos», «ubuntu», «fedora» и т. д.

Я использую Ubuntu, и у меня включены автоматические обновления.

Это новая запись в /etc/shadow

Убунту:!:18971:0:99999:7:::