O log que você mostrou não é extremamente útil: não está claro se SOMEIP é sempre o mesmo ou não, ou se SOMEDATETIMEs são muito diferentes, ou todos eles ocorrem em um burst, ou eles são agrupados em torno de um pequeno número de intervalos de tempo.
De qualquer forma, eles são basicamente tentativas de contatar o seu Servidor da Web, que você não está executando, portanto as mensagens são registradas em / var / log em vez de /var/log/apache2
ou algo parecido. Parece um pouco estranho que alguém se esforce tanto para tentar abrir um servidor da Web que não está escutando, por favor, certifique-se de fazer não ter um servidor Web em execução, verificando a saída
ss -lntp
para servidores que atendem em portas padrão (80,443) ou não padrão.
Os registros restantes se tornam mais interessantes, porque eles registram tentativas de contatar um PBX através do seu servidor Web, PBX que, de acordo com o seu OP, você não está executando. No entanto, o protocolo (SIP), o endereço, <sip:nm@nm>
e o Protocolo de Descrição de Sessão ( Accept: application/sdp
) todos falam volumes para isso.
Mais uma vez, você tem certeza de que não está executando um PBX ? Parece que alguém colocou um na sua máquina. Novamente, se você acha que sua máquina não foi violada, o comando
ss -lnup
(para o protocolo UDP, em vez do protocolo TCP) informará qual processo está escutando em qual porta.
Mas , se a sua máquina tiver sido violada, o texto acima pode muito bem relatar nada de suspeito, enquanto na verdade muita coisa ilegal está acontecendo. Você pode tentar acalmar seus medos (bem fundamentados, infelizmente) baixando e executando chkrootkit
e rkhunter
. Você também pode ler aqui (desculpas por se referir à minha própria resposta, Eu sei que não é legal, mas me poupa algum trabalho). E acima de tudo, você deve se perguntar: eu desabilitei o login por senha no ssh e introduzi chaves criptográficas? Se a resposta a esta pergunta for Não , então as chances são de sua máquina foi violado. Você deve então reinstalar a partir do zero e seguir as instruções acima para desativar o login de senha em ssh
em favor do uso de chaves públicas / privadas, que são imensamente mais seguras.