Birisi sunucumda kök olarak oturum açtığında ne yapmalı

Logcheck yüklü Debian 6.0 çalıştıran bir sunucum var. Dün önce bu mesajı aldım:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

Bunun kim olduğunu bilmiyorum ve orada yanlışlıkla olduğundan şüpheliyim.

Şimdi ne yapmalıyım?

İlk yaptığım şey ssh parola kimlik doğrulamasını devre dışı bırakmak ve genel / özel anahtara geçmekti. Authority_keys dosyasını da kontrol ettim ve sadece ortak anahtarımı gördüm

Sıradaki ne?

Diğer adamın makinemde ne yaptığını nasıl bilebilirim?

Ben bu sonraki sürümlerde (6.0p1) sabit çok uzun süre asılı olan bir hata olduğuna inanıyorum .

Sınırlı bir ana bilgisayardan sisteme kendiniz bağlanmaya çalışarak, farklı bir anahtar kullanarak ve hangi iletileri aldığınızı görerek bunu doğrulamak oldukça kolay olmalıdır.

Bu belki olabilir OpenSSH uzun süredir devam eden böcek sadece edildi 6.0p1 sabit . Bu durumda güvenle yok sayabilirsiniz. Ancak, güvenli olmak istiyorsanız, orijinal yanıt (bu hatadan etkilenmediğinizi varsayarak):

Birisi kök hesabınıza giriş yapmak için geçerli bir özel anahtara sahip olduğundan, ssh özel anahtarlarınızın güvenliği ihlal edilmiş olabilir. Birinin izin verilen bir IP adresinden oturum açmamış olması, sizi daha fazla uzlaşmaktan kurtardı. Bununla birlikte, bu önemli bir uzlaşmadır; iş istasyonunuzun (veya genellikle çalıştığınız diğer makinelerin) tehlikeye atıldığını gösterir.

Dokunduğunuz her iş istasyonuna ve sunucuya güvenliği tehlikeye girmiş gibi davranmalısınız. İş istasyonlarınızı biçimlendirin ve yeniden yükleyin. Mevcut tüm ssh anahtarlarını iptal edin / yok edin ve her şeyi yeniden anahtarlayın. Tüm şifreleri değiştirin. Bu anahtarla oturum açmak için erişiminiz olan tüm sunucuları silmeyi ve yeniden yüklemeyi düşünün.