Cosa fare quando qualcuno ha effettuato l'accesso come root sul mio server

Ho un server che esegue Debian 6.0 con logcheck installato. Ieri fa ho ricevuto questo messaggio:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

Non so chi sia e dubito che fosse lì per caso.

Ora cosa dovrei fare?

La prima cosa che ho fatto è stato disabilitare l'autenticazione con password ssh e passare alla chiave pubblica / privata. Controllo anche il file authorized_keys e ho visto solo la mia chiave pubblica

Quale prossimo?

Come posso sapere cosa ha fatto l'altro ragazzo sulla mia macchina?

Credo che questo sia un bug che è rimasto in sospeso per troppo tempo e che è stato risolto nelle versioni successive (6.0p1).

Dovrebbe essere abbastanza facile verificarlo provando a connettersi al sistema da un host che sarebbe limitato, usando una chiave diversa e vedendo quali messaggi ricevi.

Questo potrebbe essere un bug di vecchia data in OpenSSH che è stato corretto solo in 6.0p1 . In tal caso, puoi tranquillamente ignorarlo. Tuttavia, se vuoi essere sicuro, la risposta originale (supponendo che non sei interessato da questo errore) è:

Le tue chiavi private ssh sono state probabilmente compromesse, dal momento che qualcuno aveva una chiave privata valida per accedere al tuo account di root. Il fatto che qualcuno non abbia effettuato l'accesso da un indirizzo IP autorizzato ti ha salvato da ulteriori compromessi. Tuttavia, questo è un compromesso significativo; suggerisce che la workstation (o altra macchina da cui si lavora in genere) è stata compromessa.

Dovresti considerare ogni workstation e server che tocchi potenzialmente compromesso. Formatta e reinstalla le tue workstation. Revoca / distruggi tutte le tue chiavi ssh esistenti e riscrivi tutto. Cambia tutte le password. Valuta vivamente di cancellare e reinstallare tutti i server su cui hai accesso per accedere con questa chiave.