Phải làm gì khi ai đó đăng nhập bằng root trên máy chủ của tôi

Tôi có một máy chủ chạy Debian 6.0 với logcheck được cài đặt. Hôm qua, tôi nhận được tin nhắn này:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

Tôi không biết đây là ai và tôi nghi ngờ anh ta ở đó một cách tình cờ.

Bây giờ, tôi nên làm gì?

Điều đầu tiên tôi làm là vô hiệu hóa xác thực mật khẩu ssh và chuyển sang khóa chung / riêng. Tôi cũng kiểm tra tệp ủy quyền và chỉ thấy khóa công khai của mình

Tiếp theo là gì?

Làm thế nào tôi có thể biết những gì người kia đã làm trên máy của tôi?

Tôi tin rằng đây là một lỗi đã tồn tại quá lâu , được sửa trong các phiên bản sau (6.0p1).

Khá dễ dàng để xác minh điều này bằng cách cố gắng tự kết nối với hệ thống từ một máy chủ sẽ bị hạn chế, sử dụng một khóa khác và xem những tin nhắn bạn nhận được.

Đây có thể là một lỗi lâu đời trong OpenSSH chỉ được sửa trong 6.0p1 . Trong trường hợp đó bạn có thể bỏ qua nó một cách an toàn. Tuy nhiên, nếu bạn muốn an toàn, câu trả lời ban đầu (giả sử bạn không bị ảnh hưởng bởi lỗi này) là:

Khóa riêng ssh của bạn có thể đã bị xâm phạm, vì ai đó có khóa riêng hợp lệ để đăng nhập vào tài khoản root của bạn. Việc ai đó không đăng nhập từ địa chỉ IP được phép đã cứu bạn khỏi sự thỏa hiệp hơn nữa. Tuy nhiên, đây là một sự thỏa hiệp đáng kể; nó gợi ý rằng máy trạm của bạn (hoặc máy khác mà bạn thường làm việc) đã bị xâm phạm.

Bạn nên coi mọi máy trạm và máy chủ mà bạn chạm vào có khả năng bị xâm phạm. Định dạng và cài đặt lại (các) máy trạm của bạn. Thu hồi / hủy tất cả các khóa ssh hiện có của bạn và nhập lại mọi thứ. Thay đổi tất cả mật khẩu. Cân nhắc mạnh mẽ việc xóa và cài đặt lại bất kỳ máy chủ nào mà bạn có quyền truy cập để đăng nhập bằng khóa này.