最近我收到来自 ISP 的消息,提到:“我们检测到 IP 地址滥用”
向我们发送此消息是因为世界某个地方的 fail2ban 应用程序向 ISP 发送了一条自动消息(我认为它是自动的),表明我们的 IP 正在滥用 FTP 测试。
我的问题是:由于其他人伪造了 FTP 测试,该应用程序是否会错误地从我们的服务器 IP 检测 FTP 测试?
这是 ISP 收到的消息:
Mar 11 05:23:24 li244-67 sshd[10025]: Invalid user ftptest from xxx.xxx.xx.xxx
Mar 11 05:23:24 li244-67 sshd[10025]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xx.xxx
Mar 11 05:23:27 li244-67 sshd[10025]: Failed password for invalid user ftptest from xxx.xxx.xx.xxx port 47998 ssh2
答案1
3月11日 05:23:24 li244-67sshd[10025]: 来自 xxx.xxx.xx.xxx 的无效用户 ftptest
日志摘录显示,尝试从 IP 地址为 xxx.xxx.xx.xxx 的服务器登录到名为“li244-67”的服务器,并使用SSH(和非 FTP)到具有登录名的用户帐户“ftptest “(并且可能还有许多其他使用不同密码/用户名组合的类似尝试。)
如果这不是您或您的用户所为,那么您的服务器可能已被入侵。
我该如何处理受到感染的服务器?