일단 두 가지 보안 설정을 하십시오..

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

일단 로그의 내용부터 살펴보도록 하겠습니다.

Mar 31 21:49:10 ns opensshd[13845]: Illegal user temp from ***.***.***.***
==> **.***.***.*** 에서 해당 서버로 temp라는 계정으로 ssh 접근시도를 한것입니다.

Mar 31 21:49:10 ns opensshd[13845]: Failed password for illegal user temp from ***.***.***.*** port 51014 ssh2
==> 그러나 temp라는 계정이 없거나 암호가 틀려서 로그인이 거부되었다는 의미입니다.

이는, 작년말부터 유행하기 시작한 ssh를 통한 brute force 로서
쉬운 암호를 사용하는 계정에 대한 일종의 무작위대입법이라고 할 수 있습니다.
대부분의 유저들이 1234나 1111등 쉬운 암호를 사용한다는 점을 악용하여 무작위로
로그인을 시도하는 것으로 일단 ***.***.***.*** 님도 이를 통해 해킹을 당하였을 가능성이 높습니다.

따라서
1. john the ripper 이라는 프로그램을 이용하여 쉬운 암호를 사용하는 계정을 찾아 암호를 어렵게 설정 변경하고 --(본서47p에 자세한 안내참조)

2. ssh 설정에서 허용된 유저만 또는 허용된 ip에서만 접근할 수 있도록 보안 설정을 하시기 바랍니다.
  (본서 284p-SSH보안-에 자세한 안내 참조)

아울러, /var/log/messages등의 로그는 외부에서 내부로 들어오는 접속에 대한 로그가 남으며 리눅서님의 서버에서외부로 나가는 접속에 대해서는 남지 않습니다.
물론 root 권한이 빼앗겼다면 루트킷이나 백도어는 없는지 확인하셔야 합니다.

감사합니다...