Apa yang harus dilakukan ketika seseorang login sebagai root di server saya

11

Saya memiliki server yang menjalankan Debian 6.0 dengan logcheck diinstal. Kemarin yang lalu, saya menerima pesan ini:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

Saya tidak tahu siapa ini dan saya ragu dia ada di sana secara tidak sengaja.

Sekarang, apa yang harus saya lakukan?

Hal pertama yang saya lakukan adalah menonaktifkan otentikasi kata sandi ssh dan beralih ke kunci publik / pribadi. Saya juga memeriksa file Authorized_key dan hanya melihat kunci publik saya

Apa selanjutnya?

Bagaimana saya bisa tahu apa yang orang lain lakukan di mesin saya?

linux security ssh debian ssh-keys Ben
sumber
Apakah Anda yakin pesan email ini bukan palsu? Sudahkah Anda memeriksa log Anda?
Caesar

Jawaban:

13

Saya percaya ini adalah bug yang sudah terlalu lama berkeliaran dan diperbaiki di versi yang lebih baru (6.0p1).

Seharusnya cukup mudah untuk memverifikasi ini dengan mencoba menyambung ke sistem sendiri dari host yang akan dibatasi, menggunakan kunci yang berbeda dan melihat pesan apa yang Anda dapatkan.

user9517
sumber
2
Saya memang mencoba dengan komputer lain, tidak bisa masuk dan menerima pesan centang yang sama. Kira itu bug ...
Ben
5

Ini mungkin menjadi bug lama di OpenSSH yang hanya tetap dalam 6.0p1 . Dalam hal ini Anda dapat dengan aman mengabaikannya. Namun, jika Anda ingin aman, jawaban asli (dengan asumsi Anda tidak terpengaruh oleh bug ini) adalah:

Kunci pribadi ssh Anda kemungkinan telah disusupi, karena seseorang memiliki kunci pribadi yang sah untuk masuk ke akun root Anda. Fakta bahwa seseorang tidak masuk dari alamat IP yang diizinkan menyelamatkan Anda dari kompromi lebih lanjut. Namun demikian, ini adalah kompromi yang signifikan; itu menunjukkan bahwa workstation Anda (atau mesin lain yang biasanya Anda gunakan) terganggu.

Anda harus memperlakukan setiap stasiun kerja dan server yang Anda sentuh berpotensi dikompromikan. Format dan instal ulang stasiun kerja Anda. Cabut / hancurkan semua kunci ssh yang ada dan rekey semuanya. Ubah semua kata sandi. Sangat mempertimbangkan untuk menghapus dan menginstal ulang server mana pun di mana Anda memiliki akses untuk masuk dengan kunci ini.

Michael Hampton
sumber
Terima kasih atas jawaban Anda, yang menurut saya sangat aneh adalah bahwa tidak ada usaha yang gagal sebelum koneksi yang berhasil ini. Biasanya, ketika seseorang mencoba terhubung sebagai root di server saya, saya melihat beberapa upaya gagal. Di sini, koneksi berhasil secara langsung ... dan kata sandi root bukan qwerty: kata sandi yang dihasilkan
Ben
1
Jika Anda benar-benar menggunakan frombatasan dalam authorized_keysseperti yang ditunjukkan pada tautan, maka Anda mungkin terpengaruh oleh bug ini. Tapi saya akan berbuat salah di sisi hati-hati ...
Michael Hampton
1
Ben, kompleksitas kata sandi root tidak penting untuk entri log ini, karena akses dilakukan dengan kunci.
MadHatter
mmmh ... Otentikasi kata sandi diaktifkan jadi saya pikir penyusup menemukan kata sandi itu, bukan karena ia menggunakan kunci privat / publik. Bagaimana itu mungkin?
Ben