Назад | Перейти на главную страницу

Что делать, если кто-то вошел в систему как root на моем сервере

У меня есть сервер под управлением Debian 6.0 с установленным logcheck. Вчера назад я получил это сообщение:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

Я не знаю, кто это, и сомневаюсь, что он случайно оказался там.

Что мне теперь делать?

Первым делом я отключил аутентификацию по паролю ssh и переключился на открытый / закрытый ключ. Я также проверяю файл authorized_keys и вижу только свой открытый ключ

Что дальше?

Как я могу узнать, что другой парень сделал на моей машине?

Я считаю, что это ошибка, которая существует в течение слишком долго что исправлено в более поздних версиях (6.0p1).

Это должно быть довольно легко проверить, попробовав самостоятельно подключиться к системе с хоста, который будет ограничен, используя другой ключ и посмотрев, какие сообщения вы получаете.

это мощь быть давняя ошибка в OpenSSH что было только исправлено в 6.0p1. В таком случае вы можете проигнорировать это. Однако, если вы хотите быть в безопасности, исходный ответ (при условии, что эта ошибка вас не затронула):


Ваши закрытые ключи ssh, вероятно, были скомпрометированы, поскольку у кого-то был действующий закрытый ключ для входа в вашу учетную запись root. Тот факт, что кто-то не вошел в систему с разрешенного IP-адреса, спас вас от дальнейшего взлома. Тем не менее, это существенный компромисс; он предполагает, что ваша рабочая станция (или другая машина, с которой вы обычно работаете) была взломана.

Вы должны относиться к каждой рабочей станции и серверу, к которым вы прикасаетесь, как к потенциально взломанным. Отформатируйте и переустановите вашу рабочую станцию ​​(а). Отозвать / уничтожить все существующих ключей ssh ​​и повторно введите все. Смените все пароли. Настоятельно рекомендуется стереть и переустановить все серверы, к которым у вас есть доступ для входа с этим ключом.