IP adresa pod útokem?
Napsal: sob 24. led 2015 11:44:59
Dobrý den,
prosím o radu. Včera jsem nainstaloval nový server (ID 412) a dostal veřejnou IP adresu 77.93.202.74. Server je prakticky čistý.
Dnes jsem dostal zprávu, že Firewall 4smart.cz rozpoznal, že Váš virtuální server byl zdrojem síťového útoku a provedl nezbytné opatření.
Když se podívám do auth.log, tak vidím hromadu tohoto:
Jan 24 05:42:50 localhost sshd[5473]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:42:52 localhost sshd[5666]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:42:54 localhost sshd[5666]: Failed password for root from 103.41.124.36 port 58068 ssh2
Jan 24 05:42:56 localhost sshd[5666]: Failed password for root from 103.41.124.36 port 58068 ssh2
Jan 24 05:42:58 localhost sshd[5666]: Failed password for root from 103.41.124.36 port 58068 ssh2
Jan 24 05:42:59 localhost sshd[5666]: Received disconnect from 103.41.124.36: 11: [preauth]
Jan 24 05:42:59 localhost sshd[5666]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:43:01 localhost sshd[5827]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:43:03 localhost sshd[5827]: Failed password for root from 103.41.124.36 port 50925 ssh2
Jan 24 05:43:05 localhost sshd[5827]: Failed password for root from 103.41.124.36 port 50925 ssh2
Jan 24 05:43:08 localhost sshd[5827]: Failed password for root from 103.41.124.36 port 50925 ssh2
Jan 24 05:43:08 localhost sshd[5827]: Received disconnect from 103.41.124.36: 11: [preauth]
Je možné, že na danou IP adresu už probíhal nějaký útok, který jsme pouze podědili s adresou? Dá se to nějak řešit?
Děkuji.
prosím o radu. Včera jsem nainstaloval nový server (ID 412) a dostal veřejnou IP adresu 77.93.202.74. Server je prakticky čistý.
Dnes jsem dostal zprávu, že Firewall 4smart.cz rozpoznal, že Váš virtuální server byl zdrojem síťového útoku a provedl nezbytné opatření.
Když se podívám do auth.log, tak vidím hromadu tohoto:
Jan 24 05:42:50 localhost sshd[5473]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:42:52 localhost sshd[5666]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:42:54 localhost sshd[5666]: Failed password for root from 103.41.124.36 port 58068 ssh2
Jan 24 05:42:56 localhost sshd[5666]: Failed password for root from 103.41.124.36 port 58068 ssh2
Jan 24 05:42:58 localhost sshd[5666]: Failed password for root from 103.41.124.36 port 58068 ssh2
Jan 24 05:42:59 localhost sshd[5666]: Received disconnect from 103.41.124.36: 11: [preauth]
Jan 24 05:42:59 localhost sshd[5666]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:43:01 localhost sshd[5827]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:43:03 localhost sshd[5827]: Failed password for root from 103.41.124.36 port 50925 ssh2
Jan 24 05:43:05 localhost sshd[5827]: Failed password for root from 103.41.124.36 port 50925 ssh2
Jan 24 05:43:08 localhost sshd[5827]: Failed password for root from 103.41.124.36 port 50925 ssh2
Jan 24 05:43:08 localhost sshd[5827]: Received disconnect from 103.41.124.36: 11: [preauth]
Je možné, že na danou IP adresu už probíhal nějaký útok, který jsme pouze podědili s adresou? Dá se to nějak řešit?
Děkuji.