จะทำอย่างไรเมื่อมีคนล็อกออนด้วยรูทบนเซิร์ฟเวอร์ของฉัน

ฉันมีเซิร์ฟเวอร์ที่ใช้ Debian 6.0 โดยมีการติดตั้ง logcheck เมื่อวานนี้ฉันได้รับข้อความนี้:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

ฉันไม่รู้ว่านี่คือใครและฉันสงสัยว่าเขาอยู่ที่นั่นโดยไม่ได้ตั้งใจ

ตอนนี้ฉันควรทำอย่างไร

สิ่งแรกที่ฉันทำคือปิดการใช้งานการตรวจสอบรหัสผ่าน ssh และเปลี่ยนเป็นคีย์สาธารณะ / ส่วนตัว ฉันตรวจสอบไฟล์ authorized_keys และเห็นเฉพาะกุญแจสาธารณะของฉันด้วย

อะไรต่อไป

ฉันจะรู้ได้อย่างไรว่าคนอื่นทำอะไรในเครื่องของฉัน?

ฉันเชื่อว่านี่เป็นข้อผิดพลาดที่ได้รับการแขวนอยู่นานเกินไปซึ่งได้รับการแก้ไขในรุ่นที่ใหม่กว่า (6.0p1)

มันควรจะค่อนข้างง่ายในการตรวจสอบโดยพยายามเชื่อมต่อกับระบบด้วยตัวคุณเองจากโฮสต์ที่จะถูก จำกัด โดยใช้คีย์อื่นและดูว่าคุณได้รับข้อความใด

นี้อาจเป็นข้อผิดพลาดที่ยาวนานใน OpenSSHซึ่งเป็นเพียงการแก้ไขใน 6.0p1 ในกรณีนี้คุณสามารถเพิกเฉยได้อย่างปลอดภัย อย่างไรก็ตามหากคุณต้องการความปลอดภัยคำตอบดั้งเดิม (สมมติว่าคุณไม่ได้รับผลกระทบจากข้อบกพร่องนี้) คือ:

คีย์ส่วนตัว ssh ของคุณอาจถูกบุกรุกเนื่องจากมีบางคนที่มีคีย์ส่วนตัวที่ถูกต้องสำหรับการเข้าสู่บัญชีรูทของคุณ ความจริงที่ว่าไม่มีใครลงชื่อเข้าใช้จากที่อยู่ IP ที่ได้รับอนุญาตช่วยให้คุณปลอดภัยจากการถูกโจมตีเพิ่มเติม อย่างไรก็ตามนี่คือการประนีประนอมที่สำคัญ มันแสดงให้เห็นว่าเวิร์กสเตชันของคุณ (หรือเครื่องอื่น ๆ ที่คุณมักจะทำงานจาก) ถูกบุกรุก

คุณควรปฏิบัติต่อทุกเวิร์กสเตชันและเซิร์ฟเวอร์ที่คุณสัมผัสว่าอาจถูกบุกรุก จัดรูปแบบและติดตั้งเวิร์กสเตชันของคุณใหม่ เพิกถอน / ทำลายคีย์ ssh ที่มีอยู่ทั้งหมดของคุณและ rekey ทุกอย่าง เปลี่ยนรหัสผ่านทั้งหมด พิจารณาการเช็ดและติดตั้งเซิร์ฟเวอร์ใด ๆ ที่คุณสามารถเข้าสู่ระบบได้ด้วยรหัสนี้