Phải làm gì khi ai đó đăng nhập bằng root trên máy chủ của tôi


11

Tôi có một máy chủ chạy Debian 6.0 với logcheck được cài đặt. Hôm qua, tôi nhận được tin nhắn này:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

Tôi không biết đây là ai và tôi nghi ngờ anh ta ở đó một cách tình cờ.

Bây giờ, tôi nên làm gì?

Điều đầu tiên tôi làm là vô hiệu hóa xác thực mật khẩu ssh và chuyển sang khóa chung / riêng. Tôi cũng kiểm tra tệp ủy quyền và chỉ thấy khóa công khai của mình

Tiếp theo là gì?

Làm thế nào tôi có thể biết những gì người kia đã làm trên máy của tôi?


Bạn có chắc chắn tin nhắn email này không phải là giả mạo? Bạn đã kiểm tra nhật ký của bạn?
Caesar

Câu trả lời:


13

Tôi tin rằng đây là một lỗi đã tồn tại quá lâu , được sửa trong các phiên bản sau (6.0p1).

Khá dễ dàng để xác minh điều này bằng cách cố gắng tự kết nối với hệ thống từ một máy chủ sẽ bị hạn chế, sử dụng một khóa khác và xem những tin nhắn bạn nhận được.


2
Tôi thực sự đã thử với một máy khác, không thể đăng nhập và nhận được thông báo logcheck tương tự. Đoán đây là lỗi ...
Ben

5

Đây có thểmột lỗi lâu đời trong OpenSSH chỉ được sửa trong 6.0p1 . Trong trường hợp đó bạn có thể bỏ qua nó một cách an toàn. Tuy nhiên, nếu bạn muốn an toàn, câu trả lời ban đầu (giả sử bạn không bị ảnh hưởng bởi lỗi này) là:


Khóa riêng ssh của bạn có thể đã bị xâm phạm, vì ai đó có khóa riêng hợp lệ để đăng nhập vào tài khoản root của bạn. Việc ai đó không đăng nhập từ địa chỉ IP được phép đã cứu bạn khỏi sự thỏa hiệp hơn nữa. Tuy nhiên, đây là một sự thỏa hiệp đáng kể; nó gợi ý rằng máy trạm của bạn (hoặc máy khác mà bạn thường làm việc) đã bị xâm phạm.

Bạn nên coi mọi máy trạm và máy chủ mà bạn chạm vào có khả năng bị xâm phạm. Định dạng và cài đặt lại (các) máy trạm của bạn. Thu hồi / hủy tất cả các khóa ssh hiện có của bạn và nhập lại mọi thứ. Thay đổi tất cả mật khẩu. Cân nhắc mạnh mẽ việc xóa và cài đặt lại bất kỳ máy chủ nào mà bạn có quyền truy cập để đăng nhập bằng khóa này.


Cảm ơn câu trả lời của bạn, điều tôi thấy rất lạ là không có nỗ lực thất bại nào trước kết nối thành công này. Thông thường, khi ai đó đang cố gắng kết nối với quyền root trên máy chủ của tôi, tôi thấy một số lần thử thất bại. Tại đây, kết nối đã thành công trực tiếp ... và mật khẩu gốc không phải là qwerty: đó là mật khẩu được tạo
Ben

1
Nếu bạn thực sự sử dụng các fromhạn chế trong authorized_keysnhư được hiển thị trong các liên kết, thì có lẽ bạn bị ảnh hưởng bởi lỗi này. Nhưng tôi sẽ đứng về phía thận trọng ...
Michael Hampton

1
Ben, sự phức tạp của mật khẩu gốc là không quan trọng đối với mục nhật ký này, bởi vì việc truy cập được thực hiện bằng khóa.
MadHatter

mmmh ... Xác thực mật khẩu đã được bật nên tôi nghĩ kẻ xâm nhập đã tìm thấy mật khẩu đó, không phải anh ta đã sử dụng khóa riêng / công khai. Làm sao nó có thể xảy ra?
Ben
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.