上周我收到很多来自公司的电子邮件,我有一台服务器..有人可以帮我解决这个“滥用”吗? 使用Linux Debian 8
我们检测到来自IP地址XX.XX.XXX.XX的滥用行为,根据您的networking上的whois查询, 如果您要调查并酌情采取行动,我们将不胜感激。
日志行如下,但请询问是否需要更多信息。
(如果您不是正确的联系人,请接受我们的道歉 – 您的电子邮件地址是通过自动过程从whoislogging中提取的,该邮件由Fail2Ban生成。
注意:本地时区是+0100(CET)Dec 16 07:06:34 jazzmessengers sshd [27500]:连接由XX.XX.XXX.XXclosures
十二月16 07:06:39 jazzmessengers sshd [27581]:从XX.XX.XXX.XX端口35074 ssh2失败的密码
十二月16 07:06:41 jazzmessengers sshd [27581]:从XX.XX.XXX.XX端口失败的密码35074 ssh2
十二月16 07:06:43 jazzmessengers sshd [27581]:从XX.XX.XXX.XX端口失败的密码root密码35074 ssh2
12月16日07:06:43 jazzmessengers sshd [27583]:连接由XX.XX.XXX.XXclosures
Dec 16 09:14:58 jazzmessengers sshd [10829]:XX.XX.XXX.XX中的用户testing无效
Dec 16 09:15:00 jazzmessengers sshd [10850]:XX.XX.XXX.XX中的用户testing无效
Dec 16 09:15:01 jazzmessengers sshd [10829]:从XX.XX.XXX.XX端口40769 ssh2无效用户testing的密码失败
十二月16 09:15:02 jazzmessengers sshd [10829]:XX.XX.XXX.XX端口无效的用户testing密码失败40769 ssh2
十二月16 09:15:02 jazzmessengers sshd [10831]:由XX.XX.XXX.XXclosures的连接
Dec 16 09:15:02 jazzmessengers sshd [10850]:XX.XX.XXX.XX端口无效的用户testing密码失败44143 ssh2
Dec 16 09:15:04 jazzmessengers sshd [10850]:XX.XX.XXX.XX端口无效的用户testing密码失败44143 ssh2
Dec 16 11:17:35 jazzmessengers sshd [28958]:XX.XX.XXX.XX中无效的用户samba
十二月16 11:17:38 jazzmessengers sshd [28958]:XX.XX.XXX.XX端口无效的用户samba密码失败57529 ssh2
(我删除了一部分,因为Stackoverflow认为这是垃圾邮件..)
Dec 16 17:11:40 jazzmessengers sshd [28478]:XX.XX.XXX.XX端口的无效用户商用密码失败46737 ssh2
十二月16 17:11:40 jazzmessengers sshd [28480]:由XX.XX.XXX.XXclosures的连接
Dec 16 17:11:40 jazzmessengers sshd [28489]:XX.XX.XXX.XX无效的用户商业
你的服务器正被用来通过SSH暴力破解其他服务器。
“受害者”通过“抱怨”function安装了Fail2Ban,该function执行whois查找(通过ripe.net),并发送电子邮件到与IP范围相关的地址。
你应该清理你的服务器从恶意软件/病毒或其他不好的东西(如恶意用户)