Sono molto nuovo nell'amministrazione della rete, quindi ti preghiamo di considerare che non sono ancora così esperto.
Ho un server root Ubuntu con pannello Plesk.
Ieri i miei amici e ho notato che la qualità del discorso sul nostro TS3 è peggiorata. Ho inviato alcuni ping al server e si è verificata una perdita di pacchetti molto elevata. Dopo quello ho cercato su google e ho scoperto che esiste un auth.log
. L'ho scaricato e fatto scorrere un po ', poi ho trovato questo:
May 13 10:01:27 rs204941 sshd[9351]: input_userauth_request: invalid user student [preauth]
May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): check pass; user unknown
May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.220.198.102
May 13 10:01:29 rs204941 sshd[9351]: Failed password for invalid user student from 112.220.198.102 port 39806 ssh2
May 13 10:01:29 rs204941 sshd[9351]: Received disconnect from 112.220.198.102: 11: Bye Bye [preauth]
May 13 10:01:31 rs204941 sshd[9353]: Invalid user student from 112.220.198.102
Sembra che qualcuno abbia tentato di accedere più volte a SSH. Ho girato un po 'intorno e ho visto che questo qualcuno cerca di usare molti nomi utente diversi:student, tech, psi, news,...
Centinaia di questi accessi sono stati visualizzati nel file.
Ho cercato le statistiche del traffico sul sito Web del mio datacenter. Era solo a 17 MB all'ora. Ho una dorsale da 100Mbit, quindi il trasferimento dei dati non sembra essere il problema.
Al momento non riesco ad accedere al server in alcun modo.
La mia domanda è: come posso accedere di nuovo, come posso sopprimere questo attacco e prevenire i seguenti attacchi?