Добрый день.
Есть несколько виртуальных серверов на базе Ubuntu server 16-04 (xenial-server-cloudimg-amd64-disk1.img).

По умолчанию /etc/ssh/sshd_config:
PermitRootLogin prohibit-password
PasswordAuthentication no

Т.е. авторизация только по ключу.

Ключ не теряли.

НО кто-то всё же как-то попал на сервер, в логах:

Aug 25 01:17:01 HostNameX CRON[4060]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 25 01:17:01 HostNameX CRON[4060]: pam_unix(cron:session): session closed for user root
Aug 25 02:01:41 HostNameX login[1146]: pam_unix(login:auth): check pass; user unknown
Aug 25 02:01:41 HostNameX login[1146]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
Aug 25 02:01:45 HostNameX login[1146]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure
Aug 25 02:01:46 HostNameX sshd[1027]: Received signal 15; terminating.
Aug 25 02:02:54 HostNameX sshd[992]: Server listening on 0.0.0.0 port 22.
Aug 25 02:02:54 HostNameX sshd[992]: Server listening on :: port 22.
Aug 25 02:02:54 HostNameX systemd-logind[983]: Watching system buttons on /dev/input/event0 (Power Button)
Aug 25 02:02:54 HostNameX systemd-logind[983]: New seat seat0.
Aug 25 02:02:59 HostNameX login[1105]: pam_unix(login:session): session opened for user setup by LOGIN(uid=0)
Aug 25 02:02:59 HostNameX systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0)
Aug 25 02:02:59 HostNameX systemd-logind[983]: New session 1 of user root.
Aug 25 02:02:59 HostNameX login[1195]: ROOT LOGIN  on '/dev/tty1'
Aug 25 02:04:54 HostNameX sshd[992]: Received signal 15; terminating.
Aug 25 02:04:54 HostNameX sshd[1249]: Server listening on 0.0.0.0 port 22.
Aug 25 02:04:54 HostNameX sshd[1249]: Server listening on :: port 22.
Aug 25 02:09:15 HostNameX sshd[1512]: Accepted password for setup from 127.0.0.1 port 43568 ssh2
Aug 25 02:09:15 HostNameX sshd[1512]: pam_unix(sshd:session): session opened for user setup by (uid=0)
Aug 25 02:09:15 HostNameX systemd-logind[983]: New session 2 of user root.
Aug 25 02:09:18 HostNameX login[1105]: pam_unix(login:session): session closed for user setup
Aug 25 02:12:51 HostNameX sshd[1512]: pam_unix(sshd:session): session closed for user setup
Aug 25 02:12:51 HostNameX systemd-logind[983]: Removed session 1.
Aug 25 02:12:51 HostNameX systemd-logind[983]: Removed session 2.
Aug 25 02:12:51 HostNameX systemd: pam_unix(systemd-user:session): session closed for user root
Aug 25 02:13:03 HostNameX login[1568]: pam_unix(login:session): session opened for user setup by LOGIN(uid=0)
Aug 25 02:13:03 HostNameX systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0)
Aug 25 02:13:03 HostNameX systemd-logind[983]: New session 3 of user root.
Aug 25 02:13:03 HostNameX login[1672]: ROOT LOGIN  on '/dev/tty1'
Aug 25 02:13:42 HostNameX login[1568]: pam_unix(login:session): session closed for user setup

Вопрос: как злоумышленник попал на сервер ?
В какую сторону копать, чтобы понять где уязвимость?

Спасибо.

• Взломали сервер,shadow_alone, 01:49 , 01-Сен-17
  • Взломали сервер,pavlinux, 04:36 , 01-Сен-17
    • Взломали сервер,PavelR, 05:59 , 04-Сен-17
      • Взломали сервер,ACCA, 03:17 , 08-Сен-17
• Взломали сервер,pavlinux, 04:45 , 01-Сен-17
• Взломали сервер,AntonAlekseevich, 07:52 , 12-Сен-17

Ну во первых, зашли не по ключу:
Aug 25 02:09:15 HostNameX sshd[1512]: Accepted password for setup from 127.0.0.1 port 43568 ssh2

Во вторых, предварительно рестартовали sshd:
Aug 25 02:04:54 HostNameX sshd[992]: Received signal 15; terminating.

А значит запустить его могли с любыми параметрами, и входу без ключа.

Откуда у Вас взялся юзер setup, вот в чем вопрос.
С учетом того что заходили с локального хоста, использовался какой-то backdoor.

А вообще - анализ - процедура платная, можете обратиться на фриланс, вам всё по полочкам разложат во вашим логам.
----
А вот эти две строчки:
Aug 25 02:02:59 HostNameX login[1105]: pam_unix(login:session): session opened for user setup by LOGIN(uid=0)
Aug 25 02:02:59 HostNameX login[1195]: ROOT LOGIN  on '/dev/tty1'

говорят о том, что залогинились локально изначально а не по ssh, и рестартанули ssh.

У Вас всё более чем печально.

> Во вторых, предварительно рестартовали sshd:
> Aug 25 02:04:54 HostNameX sshd[992]: Received signal 15; terminating.

Конфиги поломал, в панике долбит на кнопку питания, ничё не выходит, враги мерещатся.  

Aug 25 02:01:46 HostNameX sshd[1027]: Received signal 15; terminating.
Aug 25 02:02:54 HostNameX sshd[992]: Server listening on 0.0.0.0 port 22.
Aug 25 02:02:54 HostNameX systemd-logind[983]: Watching system buttons on /dev/input/event0 (Power Button)

>> Во вторых, предварительно рестартовали sshd:
>> Aug 25 02:04:54 HostNameX sshd[992]: Received signal 15; terminating.
> Конфиги поломал, в панике долбит на кнопку питания, ничё не выходит, враги
> мерещатся.
> Aug 25 02:01:46 HostNameX sshd[1027]: Received signal 15; terminating.
> Aug 25 02:02:54 HostNameX sshd[992]: Server listening on 0.0.0.0 port 22.
> Aug 25 02:02:54 HostNameX systemd-logind[983]: Watching system buttons on /dev/input/event0
> (Power Button)

Да ладно, мож у него IPMI Supermicro в мир открыт.

> Да ладно, мож у него IPMI Supermicro в мир открыт.

Там нету IPMI, там облачный образ - xenial-server-cloudimg-amd64-disk1.img. Походу, там есть юзер setup, которым заходит облачный провайдер и что-то подшаманивает.

Поднял чужую систему под чужим управлением - должен страдать.

> В какую сторону копать, чтобы понять где уязвимость?

О, пля, нахера логи обрезал? Тогда платно.

Копай в сторону PAM. Смотри в конфиг PAM. Возможно что-то сконфигурировал не так.