Я столкнулся со странной проблемой на моем сервере (Unix). Несколько поставщиков сообщили мне, что мой сервер отправляет злонамеренные запросы на их сервер, используя протокол SSH.
Я уже проверил системные журналы в / var / log, но ничего там не нашел. Не могли бы вы посоветовать мне остановить эти вредоносные действия, выполняемые моим сервером.
Ниже приведены журналы, полученные от двух разных поставщиков, которые жалуются, что ваш сервер отправляет эти запросы.
*May 10 05:20:03 shared05 sshd[18300]: Invalid user dmcserver from 217.138.XX.YY port 41630
May 10 05:20:03 shared05 sshd[18300]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=217.138.XX.YY
May 10 05:20:05 shared05 sshd[18300]: Failed password for invalid user dmcserver from 217.138.XX.YY port 41630 ssh2
May 10 05:20:05 shared05 sshd[18300]: Received disconnect from 217.138.XX.YY port 41630:11: Bye Bye [preauth]
May 10 05:20:05 shared05 sshd[18300]: Disconnected from invalid user dmcserver 217.138.XX.YY port 41630 [preauth]*
Примечание. 217.138.XX.YY - это общедоступный IP-адрес моего сервера.
заблокировать исходящий 22 сразу на внешнем брандмауэре
ss -p | grep ":ssh"
сообщит вам, какие процессы устанавливают соединение, если процессы в настоящее время устанавливают соединение.
Скорее всего, вам придется протереть коробку.
Поскольку этот порт не всегда открыт, вы можете запустить несколько команд, чтобы зарегистрировать действие, а затем запустить команду, когда действие произойдет.
iptables -I OUT -p tcp --dport 22 -j LOG --log-prefix="SSHAccessTrigger"
tail -f /var/log/kern.log | awk '/SSHAccessTrigger/ {system("ss -p | grep ':ssh'")}'
Оба они должны запускаться как root / sudo, я бы запустил их в сеансе tmux и проверял все каждый час, вы уже должны были заблокировать / сбросить трафик на своем FW.