先週、サーバーを持っている会社からたくさんのメールを受け取りました。誰かがこの「悪用」を修正するのを手伝ってくれませんか? Linux Debian8の使用
IPアドレスXX.XX.XXX.XXから不正使用が検出されました。これは、whoisルックアップによるとネットワーク上にあります。調査を行い、必要に応じて対応していただければ幸いです。
ログラインは以下のとおりですが、さらに詳しい情報が必要な場合はお問い合わせください。
(これについて連絡するのに適切な人でない場合は、お詫びを受け入れてください。あなたの電子メールアドレスは自動プロセスによってwhoisレコードから抽出されました。このメールはFail2Banによって生成されました。)
注:ローカルタイムゾーンは+0100(CET)です。12月16日07:06:34 jazzmessengers sshd [27500]:接続はXX.XX.XXX.XXによって閉じられました
12月16日07:06:39jazzmessengers sshd [27581]:XX.XX.XXX.XXポート35074ssh2からのrootのパスワードが失敗しました
12月16日07:06:41jazzmessengers sshd [27581]:XX.XX.XXX.XXポート35074ssh2からのrootのパスワードが失敗しました
12月16日07:06:43jazzmessengers sshd [27581]:XX.XX.XXX.XXポート35074ssh2からのrootのパスワードが失敗しました
12月16日07:06:43jazzmessengers sshd [27583]:接続がXX.XX.XXX.XXによって閉じられました
12月16日09:14:58jazzmessengers sshd [10829]:XX.XX.XXX.XXからの無効なユーザーテスト
12月16日09:15:00jazzmessengers sshd [10850]:XX.XX.XXX.XXからの無効なユーザーテスト
12月16日09:15:01jazzmessengers sshd [10829]:XX.XX.XXX.XXポート40769ssh2からの無効なユーザーテストのパスワードが失敗しました
12月16日09:15:02jazzmessengers sshd [10829]:XX.XX.XXX.XXポート40769ssh2からの無効なユーザーテストのパスワードが失敗しました
12月16日09:15:02jazzmessengers sshd [10831]:接続がXX.XX.XXX.XXによって閉じられました
12月16日09:15:02jazzmessengers sshd [10850]:XX.XX.XXX.XXポート44143ssh2からの無効なユーザーテストのパスワードが失敗しました
12月16日09:15:04jazzmessengers sshd [10850]:XX.XX.XXX.XXポート44143ssh2からの無効なユーザーテストのパスワードが失敗しました
12月16日11:17:35jazzmessengers sshd [28958]:XX.XX.XXX.XXの無効なユーザーsamba
12月16日11:17:38jazzmessengers sshd [28958]:XX.XX.XXX.XXポート57529ssh2からの無効なユーザーsambaのパスワードが失敗しました
(Stackoverflowがスパムだと思ったので、パーツを削除しました。)
12月16日17:11:40jazzmessengers sshd [28478]:XX.XX.XXX.XXポート46737ssh2からの無効なユーザーコマーシャルのパスワードが失敗しました
12月16日17:11:40jazzmessengers sshd [28480]:接続がXX.XX.XXX.XXによって閉じられました
12月16日17:11:40jazzmessengers sshd [28489]:XX.XX.XXX.XXからの無効なユーザーコマーシャル
あなたのサーバーは、SSH経由で他のサーバーにブルートフォース攻撃するために使用されています。
「被害者」は、whoisルックアップ(ripe.net経由)を実行し、IP範囲に関連付けられたアドレスに電子メールを送信する「complain」機能を備えたFail2Banをインストールしました。
マルウェア/ウイルスまたはその他の悪いもの(悪意のあるユーザーなど)からサーバーをクリーンアップする必要があります