У меня есть SFTP-сервер, который я использую для размещения файлов. Пароль очень надежный (обычные словарные атаки или взлом не работают). Я не слишком беспокоюсь после прочтения этого Почта. Но я заметил кое-что очень необычное. Вот образец логов:
input_userauth_request: invalid user administrador [preauth]
Failed password for invalid user administrador from 10.51.6.91 port 21788 ssh2
Какой? Как IP может быть локальным IP-адресом? Это внешнее приложение, поэтому я ожидаю, что запрос будет поступать с внешнего IP-адреса. Я что-то упускаю?
Вполне возможно, что локальный хост был взломан и используется в качестве «точки опоры» для атаки изнутри. Возможно, стоит изучить этот хост дополнительно.
Также возможно, что внутренний пользователь пытается проникнуть на этот сервер.