Что делать, если кто-то вошел в систему как root на моем сервере

У меня есть сервер под управлением Debian 6.0 с установленным logcheck. Вчера назад я получил это сообщение:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

Я не знаю, кто это, и сомневаюсь, что он был там случайно.

Что мне теперь делать?

Первым делом я отключил аутентификацию по паролю SSH и переключился на открытый / закрытый ключ. Я также проверяю файл author_keys и вижу только мой открытый ключ

Что дальше?

Как я могу узнать, что другой парень сделал на моей машине?

Я считаю, что это ошибка, которая слишком долго зависала и исправлена ​​в более поздних версиях (6.0p1).

Это должно быть довольно легко проверить, попытавшись самостоятельно подключиться к системе с ограниченного хоста, используя другой ключ и посмотрев, какие сообщения вы получаете.

Это может быть давняя ошибка в OpenSSH, которая была исправлена только в 6.0p1 . В этом случае вы можете смело игнорировать это. Однако, если вы хотите быть в безопасности, исходный ответ (при условии, что вы не затронули эту ошибку):

Ваши личные ключи ssh, вероятно, были скомпрометированы, поскольку у кого-то был действительный закрытый ключ для входа в вашу корневую учетную запись. Тот факт, что кто-то не вошел в систему с разрешенного IP-адреса, избавил вас от дальнейших компромиссов. Тем не менее, это значительный компромисс; это говорит о том, что ваша рабочая станция (или другая машина, с которой вы обычно работаете) была взломана.

Вы должны рассматривать каждую рабочую станцию ​​и сервер, к которым вы прикасаетесь, как потенциально скомпрометированные. Отформатируйте и переустановите ваши рабочие станции. Отмените / уничтожьте все ваши существующие ключи ssh и все заново. Измените все пароли. Настоятельно рекомендуем стереть и переустановить все серверы, на которых у вас есть доступ, чтобы войти в систему с помощью этого ключа.