Qué hacer cuando alguien inició sesión como root en mi servidor

11

Tengo un servidor que ejecuta Debian 6.0 con logcheck instalado. Ayer recibí este mensaje:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

No sé quién es y dudo que haya estado allí por accidente.

¿Y ahora que debo hacer?

Lo primero que hice fue desactivar la autenticación de contraseña ssh y cambiar a clave pública / privada. También verifico el archivo autorizado_claves y vi solo mi clave pública

¿Qué sigue?

¿Cómo puedo saber lo que hizo el otro chico en mi máquina?

Ben
fuente
¿Estás seguro de que este mensaje de correo electrónico no es falso? ¿Has revisado tus registros?
César

Respuestas:

13

Creo que este es un error que ha estado dando vueltas durante demasiado tiempo y que se corrigió en versiones posteriores (6.0p1).

Debería ser bastante fácil verificar esto intentando conectarse al sistema usted mismo desde un host que estaría restringido, usando una clave diferente y viendo qué mensajes recibe.

usuario9517
fuente
2
De hecho, intenté con otra máquina, no pude iniciar sesión y recibí el mismo mensaje de logcheck. Supongo que es el error ...
Ben
5

Esto podría ser un error de larga data en OpenSSH que solo se corrigió en 6.0p1 . En ese caso, puede ignorarlo con seguridad. Sin embargo, si desea estar seguro, la respuesta original (suponiendo que no se vea afectado por este error) es:


Es probable que sus claves privadas ssh se hayan visto comprometidas, ya que alguien tenía una clave privada válida para iniciar sesión en su cuenta raíz. El hecho de que alguien no haya iniciado sesión desde una dirección IP permitida lo salvó de un mayor compromiso. Sin embargo, este es un compromiso significativo; sugiere que su estación de trabajo (u otra máquina desde la que trabaja habitualmente) se vio comprometida.

Debe tratar cada estación de trabajo y servidor que toque como potencialmente comprometida. Formatee y reinstale sus estaciones de trabajo. Revoca / destruye todas tus claves ssh existentes y vuelve a escribir todo. Cambia todas las contraseñas. Considere seriamente borrar y reinstalar cualquier servidor en el que tenga acceso para iniciar sesión con esta clave.

Michael Hampton
fuente
Gracias por su respuesta, lo que me parece muy extraño es que no hubo un intento fallido antes de esta conexión exitosa. Por lo general, cuando alguien intenta conectarse como root en mi servidor, veo varios intentos fallidos. Aquí, la conexión tuvo éxito directamente ... y la contraseña de root no es qwerty: es una contraseña generada
Ben
1
Si en realidad está usando fromrestricciones en su authorized_keyscomo se muestra en los enlaces, entonces probablemente se vea afectado por este error. Pero me equivocaría con precaución ...
Michael Hampton
1
Ben, la complejidad de la contraseña de root es irrelevante para esta entrada de registro, porque el acceso se realizó por clave.
MadHatter
mmmh ... La autenticación de contraseña estaba habilitada, así que pensé que el intruso encontró esa contraseña, no que usara claves privadas / públicas. ¿Cómo es eso posible?
Ben