我有一台运行Debian 6.0的服务器,安装了logcheck。 昨天,我收到了这个消息:
Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4). 我不知道这是谁,我怀疑他是否在意外。
现在,我该怎么办?
我做的第一件事是禁用SSH密码authentication,并切换到公共/私人密钥。 我也检查authorized_keys文件,只看到我的公钥
接下来是什么?
我怎么知道其他人在我的机器上做了什么?
我相信这是一个已经被拖延了太久的bug,这个bug在更高版本(6.0p1)中被修复。
通过尝试从受限制的主机自己连接到系统来validation这一点是相当容易的,使用不同的密钥并查看您得到的消息。
这可能是OpenSSH中一个长期存在的bug,只能在6.0p1中修复 。 在这种情况下,你可以放心地忽略它。 但是,如果你想要安全,原来的答案(假设你没有受到这个bug的影响)是:
你的ssh私钥可能已经被盗用,因为有人拥有一个有效的私钥来login你的root帐户。 有人没有从允许的IP地址login的事实使您免于进一步的妥协。 不过,这是一个重大的妥协。 它表明你的工作站(或者你通常工作的其他机器)被盗用了。
你应该把你碰到的每个工作站和服务器都视为潜在的危险。 格式化并重新安装您的工作站。 撤销/销毁所有现有的ssh密钥,并重新input所有内容。 更改所有密码。 强烈考虑清除并重新安装您有权访问的任何服务器以使用此密钥login。