누군가 내 서버에 루트로 로그인 한 경우 수행 할 작업

logcheck가 설치된 데비안 6.0을 실행하는 서버가 있습니다. 어제 전, 나는이 메시지를 받았습니다 :

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

나는 이것이 누구인지 모른다. 그리고 그가 우연히 거기에 있었는지 의심한다.

이제 어떻게해야합니까?

가장 먼저 ssh 비밀번호 인증을 비활성화하고 공개 / 개인 키로 전환했습니다. 또한 authorized_keys 파일을 확인하고 공개 키만 보았습니다.

다음은?

다른 사람이 내 컴퓨터에서 무엇을했는지 어떻게 알 수 있습니까?

나는 이것이 너무 오래 걸려 버그가 있다고 생각합니다.이 버전은 이후 버전 (6.0p1)에서 수정되었습니다.

다른 키를 사용하여 어떤 메시지를 받는지 확인하여 제한된 호스트에서 시스템에 직접 연결하려고하면이를 쉽게 확인할 수 있습니다.

이것은 6.0p1 에서만 수정 된 OpenSSH의 오래된 버그 일 수 있습니다 . 이 경우 안전하게 무시할 수 있습니다. 그러나 안전을 원한다면 (이 버그의 영향을받지 않는다고 가정 한) 원래 답변은 다음과 같습니다.

누군가 루트 계정에 로그인하기위한 유효한 개인 키를 가지고 있기 때문에 ssh 개인 키가 손상되었을 수 있습니다. 누군가가 허용 된 IP 주소로 로그인하지 않았다는 사실로 인해 더 이상 손상되지 않았습니다. 그럼에도 불구하고 이것은 중대한 타협입니다. 워크 스테이션 (또는 일반적으로 작업하는 다른 시스템)이 손상되었음을 나타냅니다.

만지는 모든 워크 스테이션과 서버는 잠재적으로 손상되었을 수 있습니다. 워크 스테이션을 포맷하고 다시 설치하십시오. 기존의 모든 ssh 키를 취소 / 파기하고 모든 키를 다시 입력하십시오. 모든 비밀번호를 변경하십시오. 이 키로 로그인 할 수있는 서버를 모두 삭제하고 다시 설치하십시오.