Eu tenho um servidor rodando Debian 6.0 com o logcheck instalado. Ontem recebi esta mensagem:
Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).
Eu não sei quem é esse e duvido que ele estivesse lá por acidente.
Agora, o que devo fazer?
A primeira coisa que fiz foi desativar a autenticação de senha ssh e mudar para chave pública / privada. Eu também verifico o arquivo authorized_keys e vi apenas minha chave pública
O que vem depois?
Como posso saber o que o outro cara fez na minha máquina?
Acredito que este é um bug que está por muito tempo por muito tempo que é corrigido em versões posteriores (6.0p1).
Deve ser bastante fácil verificar isso tentando se conectar ao sistema você mesmo de um host que seria restrito, usando uma chave diferente e vendo quais mensagens você recebe.
Este pode ser um erro de longa data no OpenSSH que era apenas corrigido em 6.0p1 . Nesse caso, você pode ignorá-lo com segurança. No entanto, se você quiser estar seguro, a resposta original (supondo que você não seja afetado por esse bug) é:
Suas chaves privadas ssh provavelmente foram comprometidas, pois alguém tinha uma chave privada válida para fazer login na sua conta root. O fato de alguém não ter logado de um endereço IP permitido o salvou de um comprometimento adicional. No entanto, este é um compromisso significativo; sugere que sua estação de trabalho (ou outra máquina da qual você normalmente trabalha) foi comprometida.
Você deve tratar cada estação de trabalho e servidor que você toca como potencialmente comprometido. Formate e reinstale sua (s) estação (ões) de trabalho. Revogue / destrua todas suas chaves ssh existentes e digite novamente tudo. Mude todas as senhas. Considere a possibilidade de limpar e reinstalar quaisquer servidores nos quais você tenha acesso para efetuar login com essa chave.