Qué hacer cuando alguien inició sesión como root en mi servidor

Tengo un servidor que ejecuta Debian 6.0 con logcheck instalado. Ayer recibí este mensaje:

Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).

No sé quién es y dudo que haya estado allí por accidente.

¿Y ahora que debo hacer?

Lo primero que hice fue desactivar la autenticación de contraseña ssh y cambiar a clave pública / privada. También verifico el archivo autorizado_claves y vi solo mi clave pública

¿Qué sigue?

¿Cómo puedo saber lo que hizo el otro chico en mi máquina?

Creo que este es un error que ha estado dando vueltas durante demasiado tiempo y que se corrigió en versiones posteriores (6.0p1).

Debería ser bastante fácil verificar esto intentando conectarse al sistema usted mismo desde un host que estaría restringido, usando una clave diferente y viendo qué mensajes recibe.

Esto podría ser un error de larga data en OpenSSH que solo se corrigió en 6.0p1 . En ese caso, puede ignorarlo con seguridad. Sin embargo, si desea estar seguro, la respuesta original (suponiendo que no se vea afectado por este error) es:

Es probable que sus claves privadas ssh se hayan visto comprometidas, ya que alguien tenía una clave privada válida para iniciar sesión en su cuenta raíz. El hecho de que alguien no haya iniciado sesión desde una dirección IP permitida lo salvó de un mayor compromiso. Sin embargo, este es un compromiso significativo; sugiere que su estación de trabajo (u otra máquina desde la que trabaja habitualmente) se vio comprometida.

Debe tratar cada estación de trabajo y servidor que toque como potencialmente comprometida. Formatee y reinstale sus estaciones de trabajo. Revoca / destruye todas tus claves ssh existentes y vuelve a escribir todo. Cambia todas las contraseñas. Considere seriamente borrar y reinstalar cualquier servidor en el que tenga acceso para iniciar sesión con esta clave.