Недавно я получил сообщение от своего интернет-провайдера, в котором говорится: «Мы обнаружили злоупотребление с IP-адреса».
Это сообщение было отправлено нам, потому что приложение fail2ban в какой-то части мира отправляет автоматическое сообщение (я полагаю, оно было автоматическим) провайдеру, указывая, что наш IP-адрес злоупотребляет тестом FTP.
Мой вопрос: может ли это приложение ошибочно обнаружить тест FTP с IP нашего сервера, потому что кто-то подделал тест FTP?
Это сообщение получил интернет-провайдер:
Mar 11 05:23:24 li244-67 sshd[10025]: Invalid user ftptest from xxx.xxx.xx.xxx
Mar 11 05:23:24 li244-67 sshd[10025]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xx.xxx
Mar 11 05:23:27 li244-67 sshd[10025]: Failed password for invalid user ftptest from xxx.xxx.xx.xxx port 47998 ssh2
11 марта 05:23:24 li244-67 sshd[10025]: недопустимый пользовательский ftptest из xxx.xxx.xx.xxx
Отрывок из журнала показывает, что была сделана попытка подключения с сервера с IP-адресом xxx.xxx.xx.xxx для входа на сервер с именем «li244-67» с SSH (и не FTP) в учетную запись пользователя с логином "ftptest" (и, вероятно, было много других подобных попыток с разными комбинациями пароля / имени пользователя.)
Если это не сделали вы или ваши пользователи, возможно, ваш сервер скомпрометирован.
Как мне поступить с взломанным сервером?