Журналы: «Получено отключение от…» без «Принято».

Я вижу много журналов с такой строкой:

Nov  7 03:47:41 s1 sshd[23430]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 05:08:16 s1 sshd[24474]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 06:33:59 s1 sshd[25526]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 08:06:33 s1 sshd[26601]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 09:24:14 s1 sshd[27460]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 10:59:49 s1 sshd[28821]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 12:14:39 s1 sshd[29894]: Received disconnect from XX.XXX.XX.XX: 11:

Я вставил сюда только 7 строк, но у меня их сотни в файле журнала. IP всегда один и тот же.

Мне сказали, что это указывает на то, что мой сервер был взломан, и злоумышленнику каким-то образом удалось очистить записи журнала, в которых регистрировалась информация для входа в систему, потому что для получения сообщения об отключении у меня должно быть сообщение «Принято ...» для тот же IP раньше. Это правда?

Мои вопросы:

По этим журналам можно сделать вывод, что мой сервер действительно взломали?
Что вообще означает это сообщение? Я где-то читал, что: 11 означает: «SSH2_DISCONNECT_BY_APPLICATION», но я не понимаю, что это на самом деле означает.

На сервере работает CentOS, и на нем отключена аутентификация по паролю SSH. Единственные журналы, в которых написано «Accepted publickey ...», ведутся с моего собственного публичного IP-адреса. Итак, я предполагаю, что они не входят в систему с помощью этого метода, если злоумышленник действительно не очищает след, верно?

Спасибо заранее.

это атаки грубой силы

Это метод пытается найти доступ для входа в систему, отправив запрос на вход, а затем проверяя результат, пока результат не вошел в систему, он повторяет другую комбинацию логина / пароля, пока доступ не будет предоставлен

в основном нацелены на Интернет:

FTP (обычно порт 21)
SSH (обычно порт 22)
TS (обычно порт 3389)
Страницы входа на веб-сайт (обычно порт 80 и 443)

для предотвращения подобных атак:

(если возможно) изменение порта по умолчанию
сложный пароль
пытаясь избежать использования основного имени для входа (admin / root / administrator, ...)
Имея временное устройство «неудачная попытка», потребуется слишком много времени, чтобы найти подходящую комбинацию логина и пароля.

Сегодня большинство системных инструментов достаточно защищены от атак такого типа.

Я не думаю, что вас взломают, если у вас не будет паролей с низким уровнем входа / пароля. этот журнал ничего не говорит, кроме неудачных попыток.

если бы хакеры вошли в систему, они бы удалили все журналы, а не только некоторые журналы (слишком много времени зря).

Что вы можете сделать (если действительно думаете, что вас взломали), так это проверить, есть ли у вас период без журналов или пропущенных журналов.

как предполагается, вы можете использовать какой-нибудь инструмент для предотвращения таких атак, как fail2ban

Для информации сообщение SSH2_DISCONNECT_BY_APPLICATION в вашем случае означает, что это попытка входа в систему зомби из ботнета, созданного на Java

Это просто "спам" от зондов, просматривающих Интернет. Они не опасны, если вы не разрешаете аутентификацию по паролю. Эти сообщения, вероятно, всего лишь шум, поскольку они обычно не знают никакой другой аутентификации, кроме пароля.

Для уменьшения шума можно установить несколько fail2ban, fwknop или переместите службу в другой порт.