Eu recebi na semana passada muitos e-mails da empresa onde eu tenho um servidor .. Alguém pode me ajudar a consertar esse 'abuso'? Usando o Linux Debian 8
Detectamos abuso do endereço IP XX.XX.XXX.XX, que, de acordo com uma pesquisa whois, está na sua rede. Agradeceríamos se você investigasse e agisse conforme necessário.
As linhas do log são fornecidas abaixo, mas, por favor, pergunte se você precisar de mais informações.
(Se você não é a pessoa correta para entrar em contato sobre isso, aceite nossas desculpas - seu endereço de e-mail foi extraído do registro whois por um processo automatizado. Este e-mail foi gerado pelo Fail2Ban.)
Nota: O fuso horário local é +0100 (CET) Dez 16 07:06:34 jazzmessengers sshd [27500]: Conexão fechada por XX.XX.XXX.XX
Dec 16 07:06:39 jazzmessengers sshd [27581]: Falha na senha para raiz da porta XX.XX.XXX.XX 35074 ssh2
Dec 16 07:06:41 jazzmessengers sshd [27581]: Falha na senha para raiz da porta XX.XX.XXX.XX 35074 ssh2
Dec 16 07:06:43 samsungsmessenger sshd [27581]: Falha na senha para raiz da porta XX.XX.XXX.XX 35074 ssh2
Dez 16 07:06:43 jazzmessengers sshd [27583]: Conexão fechada por XX.XX.XXX.XX
Dec 16 09:14:58 jazzmessengers sshd [10829]: teste de usuário inválido de XX.XX.XXX.XX
Dez 16 09:15:00 jazzmessengers sshd [10850]: Teste de usuário inválido de XX.XX.XXX.XX
Dec 16 09:15:01 jazzmessengers sshd [10829]: Senha com falha para teste de usuário inválido da porta XX.XX.XXX.XX 40769 ssh2
Dec 16 09:15:02 jazzmessengers sshd [10829]: Senha com falha para teste de usuário inválido da porta XX.XX.XXX.XX 40769 ssh2
Dec 16 09:15:02 jazzmessengers sshd [10831]: Conexão fechada por XX.XX.XXX.XX
Dec 16 09:15:02 jazzmessengers sshd [10850]: Senha com falha para teste de usuário inválido da porta XX.XX.XXX.XX 44143 ssh2
Dec 16 09:15:04 jazzmessengers sshd [10850]: Senha com falha para teste de usuário inválido da porta XX.XX.XXX.XX 44143 ssh2
Dec 16 11:17:35 jazzmessengers sshd [28958]: Samba de usuário inválido de XX.XX.XXX.XX
Dec 16 11:17:38 sshd jazzmessengers [28958]: Falha de senha para samba de usuário inválido da porta XX.XX.XXX.XX 57529 ssh2
(eu removi uma parte porque o Stackoverflow achou que era spam ..)
16 dez 17:11:40 jazzmessengers sshd [28478]: Falha na senha do usuário inválido comercial da porta XX.XX.XXX.XX 46737 ssh2
16 dez 17:11:40 jazzmessengers sshd [28480]: Conexão fechada por XX.XX.XXX.XX
16 de dezembro 17:11:40 jazzmessengers sshd [28489]: comercial de usuário inválido de XX.XX.XXX.XX
O seu servidor está sendo usado para usar a força bruta em outros servidores via SSH.
A "vítima" instalou o Fail2Ban com a função "reclamar" que executa uma pesquisa whois (via ripe.net) e envia um email para o endereço que está associado ao intervalo IP.
Você deve limpar seu servidor contra malware / vírus ou outras coisas ruins (como usuários malvados)