Was tun, wenn sich jemand auf meinem Server als root angemeldet hat?

11

Ich habe einen Server mit Debian 6.0 mit installiertem Logcheck. Vor gestern habe ich folgende Nachricht erhalten:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

Ich weiß nicht, wer das ist und ich bezweifle, dass er versehentlich dort war.

Was soll ich jetzt tun?

Als erstes habe ich die SSH-Passwortauthentifizierung deaktiviert und auf den öffentlichen / privaten Schlüssel umgestellt. Ich habe auch die Datei authorized_keys überprüft und nur meinen öffentlichen Schlüssel gesehen

Was nun?

Wie kann ich wissen, was der andere auf meiner Maschine gemacht hat?

linux security ssh debian ssh-keys Ben
quelle
Sind Sie sicher, dass diese E-Mail-Nachricht keine Fälschung ist? Haben Sie Ihre Protokolle überprüft?
Caesar

Antworten:

13

Ich glaube, das ist ein Fehler, der viel zu lange herumhängt und in späteren Versionen (6.0p1) behoben wurde.

Es sollte ziemlich einfach sein, dies zu überprüfen, indem Sie versuchen, von einem eingeschränkten Host aus eine Verbindung zum System herzustellen, indem Sie einen anderen Schlüssel verwenden und sehen, welche Nachrichten Sie erhalten.

user9517
quelle
2
Ich habe es tatsächlich mit einem anderen Computer versucht, konnte mich nicht anmelden und erhielt die gleiche Logcheck-Nachricht. Ich denke, es ist der Fehler ...
Ben
5

Dies könnte sein , ein langjährigen Fehler in OpenSSH , die nur wurde in 6.0p1 fixiert . In diesem Fall können Sie es ignorieren. Wenn Sie jedoch sicher sein möchten, lautet die ursprüngliche Antwort (vorausgesetzt, Sie sind von diesem Fehler nicht betroffen):

Ihre privaten SSH-Schlüssel wurden wahrscheinlich kompromittiert, da jemand einen gültigen privaten Schlüssel für die Anmeldung bei Ihrem Root-Konto hatte. Die Tatsache, dass sich jemand nicht von einer zulässigen IP-Adresse aus angemeldet hat, hat Sie vor weiteren Kompromissen bewahrt. Dies ist jedoch ein bedeutender Kompromiss. Dies deutet darauf hin, dass Ihre Workstation (oder ein anderer Computer, auf dem Sie normalerweise arbeiten) kompromittiert wurde.

Sie sollten jede Workstation und jeden Server, die Sie berühren, als potenziell gefährdet behandeln. Formatieren und installieren Sie Ihre Workstation (s) neu. Widerrufen / zerstören Sie alle vorhandenen SSH-Schlüssel und geben Sie alles neu ein. Ändern Sie alle Passwörter. Erwägen Sie nachdrücklich, alle Server zu löschen und neu zu installieren, auf denen Sie Zugriff haben, um sich mit diesem Schlüssel anzumelden.

Michael Hampton
quelle
Vielen Dank für Ihre Antwort. Was ich sehr seltsam finde, ist, dass es vor dieser erfolgreichen Verbindung keinen fehlgeschlagenen Versuch gab. Wenn jemand versucht, eine Verbindung als Root auf meinem Server herzustellen, werden normalerweise mehrere fehlgeschlagene Versuche angezeigt. Hier war die Verbindung direkt erfolgreich ... und das Root-Passwort ist nicht qwerty: Es ist ein generiertes Passwort
Ben
1
Wenn Sie tatsächlich fromEinschränkungen in Ihrem verwenden, authorized_keyswie in den Links gezeigt, sind Sie wahrscheinlich von diesem Fehler betroffen. Aber ich würde auf Nummer sicher gehen ...
Michael Hampton
1
Ben, die Komplexität des Root-Passworts spielt für diesen Protokolleintrag keine Rolle, da der Zugriff per Schlüssel erfolgte.
MadHatter
mmmh ... Die Passwortauthentifizierung wurde aktiviert, daher dachte ich, der Eindringling habe dieses Passwort gefunden, nicht dass er private / öffentliche Schlüssel verwendet hätte. Wie ist das überhaupt möglich?
Ben