Co zrobić, gdy ktoś zaloguje się jako root na moim serwerze

Mam serwer z systemem Debian 6.0 z zainstalowanym logcheck. Wczoraj otrzymałem tę wiadomość:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

Nie wiem kto to jest i wątpię, żeby był tam przez przypadek.

Co mam teraz zrobić?

Pierwszą rzeczą, którą zrobiłem, było wyłączenie uwierzytelniania hasła ssh i przełączenie na klucz publiczny / prywatny. Sprawdzam również plik autoryzowanych_kluczy i widziałem tylko mój klucz publiczny

Co następne?

Skąd mam wiedzieć, co ten facet zrobił na mojej maszynie?

Uważam, że jest to błąd, który wisiał zbyt długo, co zostało naprawione w późniejszych wersjach (6.0p1).

Powinno to być dość łatwe do zweryfikowania, próbując samodzielnie połączyć się z systemem z hosta, który byłby ograniczony, używając innego klucza i zobaczyć, jakie wiadomości otrzymujesz.

To może być długotrwały błąd w OpenSSH, który został naprawiony tylko w wersji 6.0p1 . W takim przypadku możesz go bezpiecznie zignorować. Jeśli jednak chcesz być bezpieczny, oryginalna odpowiedź (zakładając, że ten błąd nie dotyczy):

Twoje klucze prywatne ssh zostały prawdopodobnie naruszone, ponieważ ktoś miał prawidłowy klucz prywatny do zalogowania się na twoje konto root. Fakt, że ktoś nie zalogował się z dozwolonego adresu IP, uchronił Cię przed dalszym kompromisem. Niemniej jest to znaczący kompromis; sugeruje to, że Twoja stacja robocza (lub inna maszyna, z której zazwyczaj pracujesz) została naruszona.

Każdą dotkniętą stację roboczą i serwer należy traktować jako potencjalnie zagrożoną. Sformatuj i ponownie zainstaluj stacje robocze. Odwołaj / zniszcz wszystkie istniejące klucze ssh i ponownie uruchom wszystko ponownie. Zmień wszystkie hasła. Zdecydowanie rozważ wyczyszczenie i ponowną instalację serwerów, na których masz dostęp, aby zalogować się przy użyciu tego klucza.