誰かが私のサーバーにrootとしてログインしたときの対処

logcheckがインストールされたDebian 6.0を実行しているサーバーがあります。昨日、私はこのメッセージを受け取りました：

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

これが誰なのかわかりませんが、彼が偶然そこにいたのではないかと思います。

さて、どうすればいいですか？

最初にしたことは、sshパスワード認証を無効にして、公開/秘密キーに切り替えたことです。また、authorized_keysファイルを確認し、公開鍵のみを見ました

次は何？

他の人が私のマシンで何をしたかを知るにはどうすればよいですか？

これはバグだと思いますが、これはあまりにも長い間ぶらぶらしており、後のバージョン（6.0p1）で修正されています。

制限されるホストからシステムに自分で接続し、別のキーを使用して、どのメッセージが表示されるかを確認することで、これを簡単に確認できるはずです。

これは可能性があることのOpenSSHでの長年のバグだけして6.0p1で固定します。その場合、安全に無視できます。ただし、安全にしたい場合は、元の答え（このバグの影響を受けていない場合）は次のとおりです。

誰かがルートアカウントにログインするための有効な秘密鍵を持っていたため、ssh秘密鍵が侵害された可能性があります。許可されたIPアドレスから誰かがログインしなかったという事実は、さらなる侵害からあなたを救った。それにもかかわらず、これは重大な妥協です。ワークステーション（または通常作業する他のマシン）が侵害されたことを示唆しています。

触れるすべてのワークステーションとサーバーを潜在的に侵害されたものとして扱う必要があります。ワークステーションをフォーマットして再インストールします。既存のすべてのsshキーを取り消し/破棄し、すべてのキーを再生成します。すべてのパスワードを変更します。このキーでログインするためのアクセス権があるサーバーをすべて消去して再インストールすることを強く検討してください。