Що робити, коли хтось увійшов як root на моєму сервері

У мене є сервер під керуванням Debian 6.0 з встановленим logcheck. Вчора я отримав це повідомлення:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

Я не знаю, хто це, і я сумніваюся, що він був там випадково.

Тепер, що мені робити?

Перше, що я зробив - це відключити аутентифікацію пароля ssh і переключився на відкритий / приватний ключ. Я також перевіряв файл санкціонованих_кілів і бачив лише свій відкритий ключ

Що далі?

Як я можу знати, що інший хлопець робив на моїй машині?

Я вважаю, що це помилка, яка зависла довгий час, яка виправлена ​​в пізніших версіях (6.0p1).

Переконатись у цьому слід досить просто, намагаючись самостійно підключитися до системи від хоста, який би був обмежений, використовуючи інший ключ та побачивши, які повідомлення ви отримуєте.

Це може бути давня помилка в OpenSSH, яку було виправлено лише у 6.0p1 . У цьому випадку ви можете сміливо проігнорувати це. Однак, якщо ви хочете бути в безпеці, оригінальна відповідь (якщо припустити, що ця помилка не впливає):

Ваші приватні ключі ssh, ймовірно, були порушені, оскільки хтось мав дійсний приватний ключ для входу у ваш кореневий рахунок. Те, що хтось не входив із дозволеної IP-адреси, врятувало вас від подальших компромісів. Тим не менш, це значний компроміс; це говорить про те, що ваша робоча станція (або інша машина, на якій ти зазвичай працюєш) була порушена.

Ви повинні ставитися до кожної робочої станції та сервера, яких ви торкаєтесь, як до потенційно порушених. Відформатуйте та перевстановіть свою робочу станцію. Скасувати / знищити всі існуючі ключі ssh та перевстановити все. Змінити всі паролі. Настійно подумайте про те, як протерти та перевстановити будь-які сервери, на яких у вас є доступ для входу за допомогою цього ключа.