上周我收到了很多来自我所在服务器公司的邮件。有人能帮我修复这个“滥用”吗?使用 Linux Debian 8
我们检测到 IP 地址 XX.XX.XXX.XX 存在滥用行为,根据 whois 查询,该地址位于您的网络上。如果您能进行调查并采取适当措施,我们将不胜感激。
下面给出了日志行,但如果您需要任何进一步的信息,请询问。
(如果您不是该问题的合适联系人,请接受我们的歉意 - 您的电子邮件地址是通过自动流程从 whois 记录中提取的。此邮件由 Fail2Ban 生成。)
注意:当地时区为 +0100 (CET) 12 月 16 日 07:06:34 jazzmessengers sshd[27500]: 连接于 XX.XX.XXX.XX 关闭
十二月 16 07:06:39 jazzmessengers sshd[27581]: 来自 XX.XX.XXX.XX 端口 35074 ssh2 的 root 密码失败
十二月 16 07:06:41 jazzmessengers sshd[27581]: 来自 XX.XX.XXX.XX 端口 35074 ssh2 的 root 密码失败
十二月 16 07:06:43 jazzmessengers sshd[27581]: 来自 XX.XX.XXX.XX 端口 35074 ssh2 的 root 密码失败
十二月 16 07:06:43 jazzmessengers sshd[27583]: 连接于 XX.XX.XXX.XX 关闭
十二月 16 09:14:58 jazzmessengers sshd[10829]: 来自 XX.XX.XXX.XX 的无效用户测试
十二月 16 09:15:00 jazzmessengers sshd[10850]: 来自 XX.XX.XXX.XX 的无效用户测试
十二月 16 09:15:01 jazzmessengers sshd[10829]: 来自 XX.XX.XXX.XX 端口 40769 ssh2 的无效用户测试密码失败
十二月 16 09:15:02 jazzmessengers sshd[10829]: 来自 XX.XX.XXX.XX 端口 40769 ssh2 的无效用户测试密码失败
十二月 16 09:15:02 jazzmessengers sshd[10831]: 连接于 XX.XX.XXX.XX 关闭
十二月 16 09:15:02 jazzmessengers sshd[10850]: 来自 XX.XX.XXX.XX 端口 44143 ssh2 的无效用户测试密码失败
十二月 16 09:15:04 jazzmessengers sshd[10850]: 来自 XX.XX.XXX.XX 端口 44143 ssh2 的无效用户测试密码失败
12 月 16 日 11:17:35 jazzmessengers sshd[28958]: 来自 XX.XX.XXX.XX 的无效用户 samba
12 月 16 日 11:17:38 jazzmessengers sshd[28958]: 来自 XX.XX.XXX.XX 端口 57529 ssh2 的无效用户 samba 密码失败
(我删除了一部分,因为 Stackoverflow 认为它是垃圾邮件。)
12 月 16 日 17:11:40 jazzmessengers sshd[28478]: 来自 XX.XX.XXX.XX 端口 46737 ssh2 的无效用户 comercial 密码失败
十二月 16 17:11:40 jazzmessengers sshd[28480]: 连接于 XX.XX.XXX.XX 关闭
12 月 16 日 17:11:40 jazzmessengers sshd[28489]: 来自 XX.XX.XXX.XX 的无效用户广告
答案1
您的服务器正被用于通过 SSH 暴力破解其他服务器。
“受害者”安装了带有“投诉”功能的 Fail2Ban,该功能执行 whois 查找(通过 ripe.net)并向与 IP 范围关联的地址发送电子邮件。
您应该清除服务器上的恶意软件/病毒或其他不良内容(例如恶意用户)