Acontece que foi um ataque de força bruta na minha porta VNC passando pelo meu roteador. Eu instalei o DenyHosts e o Fail2Ban e estou de olho no syslog.
nova instalação do Ubuntu 16.04. Meu syslog está enchendo diariamente, mais de 60GB por dia. Olhando para as últimas entradas, vejo estas sendo escritas várias vezes por segundo:
Jul 18 12:39:23 JALServer gnome-session[1361]: 18/07/2016 12:39:23 PM static-71-177-42-141.lsanca.fios.frontiernet.net
Jul 18 12:39:23 JALServer gnome-session[1361]: 18/07/2016 12:39:23 PM 75-114-70-170.biz.bhn.net
Jul 18 12:39:23 JALServer gnome-session[1361]: 18/07/2016 12:39:23 PM static-71-177-42-141.lsanca.fios.frontiernet.net
Jul 18 12:39:23 JALServer gnome-session[1361]: 18/07/2016 12:39:23 PM 75-114-70-170.biz.bhn.net
Jul 18 12:39:23 JALServer gnome-session[1361]: 18/07/2016 12:39:23 PM static-71-177-42-141.lsanca.fios.frontiernet.net
Jul 18 12:39:23 JALServer gnome-session[1361]: 18/07/2016 12:39:23 PM 75-114-70-170.biz.bhn.net
Aparentemente, são nomes de domínio e endereços IP de um ISP (não meu endereço IP), mas não consigo entender por que o gnome-session está escrevendo. Se for importante, estou executando o vino, o vsftpd, o openssh-server, uma pilha delugada e uma pilha LAMP, além de alguns aplicativos php e python que posso acessar pela Web.
Desculpe se isso foi perguntado antes, mas das muitas mensagens syslog em perguntas aqui eu não vi nada assim, e eu sou praticamente um novato.
Acontece que foi um ataque de força bruta na minha porta VNC passando pelo meu roteador. Eu instalei o DenyHosts e o Fail2Ban e estou de olho no syslog.