Tenho a sensação desconfortável de que minha máquina Ubuntu 16.04 foi comprometida e está sendo usada como host de ataques SSH de força bruta. Eu acho que isso porque eu fui impedido de visitar certos IPs (redes de instituições de ensino).
Veja a história completa:
Eu fui notificado há alguns dias pelo meu ISP local que o meu endereço IP estava lançando ataques SSH de força bruta. Eu copiei os arquivos importantes para um disco rígido, e reinstalei o Ubuntu do USB (escolhendo a opção de instalação que limpou o disco rígido primeiro), com uma nova senha, nome de usuário, etc. Eu segui as instruções para fortalecendo o SSH aqui . Então copiei os arquivos de volta para o servidor (embora alguns arquivos no disco rígido tivessem sido inexplicavelmente corrompidos, isso poderia estar relacionado?).
Pedi à minha rede educacional para desbloquear o meu IP, o que eles fizeram, mas algumas horas depois, fui bloqueado novamente. Presumivelmente isso é por causa de mais ataques de força bruta.
Agora, à pergunta: como posso saber se meu servidor está executando esses ataques? Não há nada em /var/log/auth.log para sugerir que alguém tenha acessado. Eu não vejo processos estranhos em execução. Tudo parece estar em ordem.