O que fazer quando alguém logou como root no meu servidor

11

Eu tenho um servidor rodando Debian 6.0 com o logcheck instalado. Ontem recebi esta mensagem:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

Eu não sei quem é esse e duvido que ele estivesse lá por acidente.

Agora, o que devo fazer?

A primeira coisa que fiz foi desativar a autenticação de senha ssh e mudar para chave pública / privada. Eu também verifico o arquivo authorized_keys e vi apenas minha chave pública

O que vem depois?

Como posso saber o que o outro cara fez na minha máquina?

    
por Ben 20.01.2013 / 08:25

2 respostas

13

Acredito que este é um bug que está por muito tempo por muito tempo que é corrigido em versões posteriores (6.0p1).

Deve ser bastante fácil verificar isso tentando se conectar ao sistema você mesmo de um host que seria restrito, usando uma chave diferente e vendo quais mensagens você recebe.

    
por 20.01.2013 / 08:52
5

Este pode ser um erro de longa data no OpenSSH que era apenas corrigido em 6.0p1 . Nesse caso, você pode ignorá-lo com segurança. No entanto, se você quiser estar seguro, a resposta original (supondo que você não seja afetado por esse bug) é:

Suas chaves privadas ssh provavelmente foram comprometidas, pois alguém tinha uma chave privada válida para fazer login na sua conta root. O fato de alguém não ter logado de um endereço IP permitido o salvou de um comprometimento adicional. No entanto, este é um compromisso significativo; sugere que sua estação de trabalho (ou outra máquina da qual você normalmente trabalha) foi comprometida.

Você deve tratar cada estação de trabalho e servidor que você toca como potencialmente comprometido. Formate e reinstale sua (s) estação (ões) de trabalho. Revogue / destrua todas suas chaves ssh existentes e digite novamente tudo. Mude todas as senhas. Considere a possibilidade de limpar e reinstalar quaisquer servidores nos quais você tenha acesso para efetuar login com essa chave.

    
por 20.01.2013 / 08:38