У меня есть сервер Ubuntu 14.04, и я обнаружил в /var/auth.log
то, что это пытается соединиться с другими серверами.
Это - файл журнала:
Aug 31 08:04:49 server_name sshd[16316]: error: connect_to 98.208.82.101 port 22: failed.
Aug 31 08:04:50 server_name sshd[16316]: error: connect_to 98.208.82.126 port 22: failed.
Aug 31 08:04:50 server_name sshd[16316]: error: connect_to 98.208.82.127 port 22: failed.
Aug 31 08:04:51 server_name sshd[16316]: error: connect_to 98.208.82.172 port 22: failed.
Aug 31 08:04:53 server_name sshd[16316]: error: connect_to 98.208.82.213 port 22: failed.
Aug 31 08:04:56 server_name sshd[16316]: error: connect_to 98.208.82.241 port 22: failed.
Aug 31 08:04:58 server_name sshd[16316]: error: connect_to 98.210.209.25 port 22: failed.
Aug 31 08:04:58 server_name sshd[16316]: error: connect_to 98.210.209.29 port 22: failed.
Aug 31 08:04:58 server_name sshd[16316]: error: connect_to 98.210.209.48 port 22: failed.
Aug 31 08:04:59 server_name sshd[16316]: error: connect_to 98.210.209.55 port 22: failed.
Aug 31 08:04:59 server_name sshd[16316]: error: connect_to 98.210.209.61 port 22: failed.
Я проверил сервер на уязвимости, и все в порядке. ssh не был настроен правильно до сих пор.
Я имею, также выполнил вирусное сканирование, и ничто не заражено.
Что еще я могу проверить?
я обнаружил проблему. Мы были взломаны, и пользователь предпринял попытки на других серверах.
Они использовали уязвимость в конфигурации Nagios, которая позволяет "nagios" пользователю делать логины. Мы отключили логины для этого пользователя и уничтожили процесс, который предпринимал попытки