O que fazer quando alguém logado como root no meu servidor

Eu tenho um servidor executando o Debian 6.0 com a verificação de log instalada. Ontem, recebi esta mensagem:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

Não sei quem é e duvido que ele estivesse lá por acidente.

Agora, o que devo fazer?

A primeira coisa que fiz foi desativar a autenticação de senha ssh e alternar para chave pública / privada. Também verifico o arquivo allowed_keys e vi apenas minha chave pública

Qual o proximo?

Como posso saber o que o outro cara fez na minha máquina?

Eu acredito que este é um bug que está por aí por muito tempo e é corrigido em versões posteriores (6.0p1).

Deve ser bastante fácil verificar isso, tentando se conectar ao sistema a partir de um host que seria restrito, usando uma chave diferente e vendo quais mensagens você recebe.

Isso pode ser um bug de longa data no OpenSSH, que foi corrigido apenas no 6.0p1 . Nesse caso, você pode ignorá-lo com segurança. No entanto, se você quiser estar seguro, a resposta original (supondo que você não seja afetado por esse bug) é:

Suas chaves privadas ssh provavelmente foram comprometidas, pois alguém tinha uma chave privada válida para fazer login na sua conta root. O fato de alguém não ter efetuado login a partir de um endereço IP permitido evitou um comprometimento adicional. No entanto, este é um compromisso significativo; isso sugere que sua estação de trabalho (ou outra máquina da qual você normalmente trabalha) foi comprometida.

Você deve tratar todas as estações e servidores em que tocar como potencialmente comprometidos. Formate e reinstale as suas estações de trabalho. Revogue / destrua todas as suas chaves ssh existentes e reescreva tudo. Mude todas as senhas. Considere fortemente limpar e reinstalar todos os servidores nos quais você tem acesso para efetuar login com essa chave.