Accepted publickey for root from ::ffff:89.166.155.110 port 57048 ssh2 <---- Was hat das zu bede

[jojo8897]

Heute fand ich folgende Meldung in meiner Logdatei:

Feb 25 21:27:49 pxxxxxxxx sshd[28081]: Accepted publickey for root from ::ffff:89.166.155.110 port 57030 ssh2
Feb 25 21:27:56 pxxxxxxxx sshd[28088]: Accepted publickey for root from ::ffff:89.166.155.110 port 57031 ssh2
Feb 25 21:27:57 pxxxxxxxx sshd[28096]: Accepted publickey for root from ::ffff:89.166.155.110 port 57032 ssh2
Feb 25 21:27:57 pxxxxxxxx sshd[28106]: Accepted publickey for root from ::ffff:89.166.155.110 port 57033 ssh2
Feb 25 21:27:58 pxxxxxxxx sshd[28113]: Accepted publickey for root from ::ffff:89.166.155.110 port 57034 ssh2
Feb 25 21:28:00 pxxxxxxxx sshd[28121]: Accepted publickey for root from ::ffff:89.166.155.110 port 57035 ssh2
Feb 25 21:28:00 pxxxxxxxx /USR/SBIN/CRON[28125]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Feb 25 21:28:08 pxxxxxxxx sshd[28133]: Accepted publickey for root from ::ffff:89.166.155.110 port 57036 ssh2
Feb 25 21:28:13 pxxxxxxxx sshd[28140]: Accepted publickey for root from ::ffff:89.166.155.110 port 57037 ssh2
Feb 25 21:28:16 pxxxxxxxx sshd[28149]: Accepted publickey for root from ::ffff:89.166.155.110 port 57038 ssh2
Feb 25 21:28:17 pxxxxxxxx sshd[28171]: Accepted publickey for root from ::ffff:89.166.155.110 port 57039 ssh2
Feb 25 21:28:22 pxxxxxxxx sshd[28178]: Accepted publickey for root from ::ffff:89.166.155.110 port 57040 ssh2
Feb 25 21:28:24 pxxxxxxxx sshd[28185]: Accepted publickey for root from ::ffff:89.166.155.110 port 57041 ssh2
Feb 25 21:28:25 pxxxxxxxx sshd[28192]: Accepted publickey for root from ::ffff:89.166.155.110 port 57042 ssh2
Feb 25 21:28:25 pxxxxxxxx sshd[28199]: Accepted publickey for root from ::ffff:89.166.155.110 port 57043 ssh2
Feb 25 21:28:26 pxxxxxxxx sshd[28206]: Accepted publickey for root from ::ffff:89.166.155.110 port 57044 ssh2
Feb 25 21:28:32 pxxxxxxxx sshd[28213]: Accepted publickey for root from ::ffff:89.166.155.110 port 57045 ssh2
Feb 25 21:28:33 pxxxxxxxx sshd[28220]: Accepted publickey for root from ::ffff:89.166.155.110 port 57046 ssh2
Feb 25 21:28:36 pxxxxxxxx sshd[28229]: Accepted publickey for root from ::ffff:89.166.155.110 port 57047 ssh2
Feb 25 21:28:36 pxxxxxxxx sshd[28236]: Accepted publickey for root from ::ffff:89.166.155.110 port 57048 ssh2
Feb 25 21:28:39 pxxxxxxxx sshd[28245]: Accepted publickey for root from ::ffff:89.166.155.110 port 57049 ssh2
Feb 25 21:28:53 pxxxxxxxx sshd[28257]: Accepted publickey for root from ::ffff:89.166.155.110 port 57050 ssh2
Feb 25 21:28:55 pxxxxxxxx sshd[28264]: Accepted publickey for root from ::ffff:89.166.155.110 port 57051 ssh2
Feb 25 21:28:59 pxxxxxxxx sshd[28271]: Accepted publickey for root from ::ffff:89.166.155.110 port 57052 ssh2
Feb 25 21:29:00 pxxxxxxxx /USR/SBIN/CRON[28282]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Feb 25 21:29:00 pxxxxxxxx sshd[28278]: Accepted publickey for root from ::ffff:89.166.155.110 port 57053 ssh2

Außerdem werden anscheinend mails über meinen server verschickt, da ich viele mails zurückbekommen wo die Adresse nicht stimmte.

Ich betreibe den Server jetzt seit fünf Jahren, das ist das erste mal das das passiert. Kann mir einer weiterhelfen was jetzt als erstes zu machen ist.

DANKE

[Roger Wilco]

Der Benutzer root hat sich von der IP-Adresse 89.166.155.110 via Public Key Authentication auf deinem Server eingeloggt. Wenn du das nicht warst, ist dein System kompromittiert.
-> http://www.rootforum.org/forum/viewtopic.php?t=7801

Wegen der Mails überprüfst du bitte möglichst schnell die Logdateien deines MTA. Wenn die Mails darüber verschickt wurden (erkennst du z. B. an der Größe der Logs oder an den Message-IDs), beendest du deinen MTA und stopfst erstmal die Löcher. Ansonsten könnten das auch einfach Rückläufer von Mails mit gefälschtem Absender sein, deren Opfer du zufällig geworden bist.

[jojo8897]

reicht es erstmal das rootpasswort zu ändern? oder muss ich den ganzen server runternehmen und dann alle passwörter ändern?
ich kann bisher keine änderungen am sys feststellen.

Danke

Jörg

[captaincrunch]

Da derjenige via Pubkey reingekommen ist, bringt dir die Änderung deiner Passworte herzlich wenig. Viel mehr solltest du die Kiste schleunigst neu aufsetzen. Auch dein Clientrechner, auf dem die SSH-Keys anscheinend liegen solltest du wohl ganz fix neu installieren.

[jojo8897]

:lol:
ich bin das doch selber, aber halt von meinem backupserver aus *g* die uhr hat sich da verstellt und jetzt läuft der daily cronjob zu anderer zeit, der backupserver hat keine feste ip sondern hängt lediglich an einer dsl leitung deshalb habe ich das ned sofort gemerkt.
Dann kam das mit den MAils dazu so das ich dachte da war jemand an deinem server, aber bei den Mail scheint es sich um gefälschte absender zu handeln.

SORRY

DANKE

[yt]

Es ist aber nicht sinnvoll die Backups als root zu holen. Ich würde die eher als unpreveligierter Nutzer auf den Backupserver schieben.

[EdRoxter]

Generell sollte root-Login über SSH nicht möglich sein. Arbeiten auf dem Server immer als unprivilegierter Nutzer. WENN administrativer Kram nötig ist, su oder sudo.