Hallo,
ik heb een best dringende vraag. Ik heb een dedicated server overgenomen van een vriend nadat deze gehackt was en gebruikt was om te ddossen. Er stond toen winserver op. Self prefereer ik ubunut server dus heb ik dat erop geinstalleerd.
Na de installatie van webmin en het instellen van verschillende users kreeg ik dit bericht:
Bonjour,
Er is een abnormale activiteit geconstateerd op uw server ks2014648.kimsufi.com.
We adviseren u om contact op te nemen met onze Support, zodat de situatie
niet kritiek wordt.
U kunt de loggegevens van ons systeem welke tot deze waarschuwing hebben
geleid, hieronder terugvinden.
- BEGIN VAN DE AANVULLENDE INFORMATIE -
30/11/2012 06:03:17 sshd PID 3284: Invalid user darcy from 91.121.121.189.
30/11/2012 06:03:16 sshd PID 1888: Received disconnect from 91.121.121.189: 11: Bye Bye.
30/11/2012 06:03:16 sshd PID 1888: input_userauth_request: invalid user daphne.
30/11/2012 06:03:16 sshd PID 3288: Invalid user daphne from 91.121.121.189.
30/11/2012 06:03:15 sshd PID 1692: Received disconnect from 91.121.121.189: 11: Bye Bye.
30/11/2012 06:03:15 sshd PID 1692: input_userauth_request: invalid user david.
30/11/2012 06:03:15 sshd PID 324: Invalid user david from 91.121.121.189.
30/11/2012 06:03:15 sshd PID 3308: Received disconnect from 91.121.121.189: 11: Bye Bye.
30/11/2012 06:03:15 sshd PID 3308: input_userauth_request: invalid user danny.
30/11/2012 06:03:15 sshd PID 708: Invalid user danny from 91.121.121.189.
30/11/2012 06:03:14 sshd PID 3712: Received disconnect from 91.121.121.189: 11: Bye Bye.
30/11/2012 06:03:14 sshd PID 3712: input_userauth_request: invalid user daniela.
30/11/2012 06:03:14 sshd PID 332: Invalid user daniela from 91.121.121.189.
30/11/2012 06:03:13 sshd PID 3896: Received disconnect from 91.121.121.189: 11: Bye Bye.
30/11/2012 06:03:13 sshd PID 3896: input_userauth_request: invalid user daniele.
30/11/2012 06:03:13 sshd PID 3680: Invalid user daniele from 91.121.121.189.
30/11/2012 06:03:12 sshd PID 3076: Received disconnect from 91.121.121.189: 11: Bye Bye.
30/11/2012 06:03:12 sshd PID 3076: input_userauth_request: invalid user daniel.
30/11/2012 06:03:12 sshd PID 1300: Invalid user daniel from 91.121.121.189.
30/11/2012 06:03:12 sshd PID 1100: Received disconnect from 91.121.121.189: 11: Bye Bye.
30/11/2012 06:03:12 sshd PID 1100: input_userauth_request: invalid user dana.
30/11/2012 06:03:12 sshd PID 944: Invalid user dana from 91.121.121.189.
30/11/2012 06:03:11 sshd PID 3200: Received disconnect from 91.121.121.189: 11: Bye Bye.
30/11/2012 06:03:11 sshd PID 3200: input_userauth_request: invalid user dan.
30/11/2012 06:03:11 sshd PID 2512: Invalid user dan from 91.121.121.189.
Dit lijkt mij een bruteforce via ssh, het enige probleem is dat het ip-adress wat gebruikt is om te connecten het zelfde ip is als dat van de server. Dat zou dan betekenen dat mijn localhost een ssh bruteforce uitgevoerd heeft?!?
Op dit moment staat de server uit totdat ik een oplossing weet.
Weet iemand toevallig hoe je na 3 verkeerde users/pass een 10minute wait op de connectie kan zetten en miss zelfs na de 2e keer 30min wait.
alvast bedankt,
Gr,
Job