Сервер пытается подключиться к другим серверам

Question

Сервер пытается подключиться к другим серверам

У меня есть сервер Ubuntu 14.04, и я обнаружил в /var/auth.log что он пытается подключиться к другим серверам.

Это файл журнала:

Aug 31 08:04:49 server_name sshd[16316]: error: connect_to 98.208.82.101 port 22: failed.
Aug 31 08:04:50 server_name sshd[16316]: error: connect_to 98.208.82.126 port 22: failed.
Aug 31 08:04:50 server_name sshd[16316]: error: connect_to 98.208.82.127 port 22: failed.
Aug 31 08:04:51 server_name sshd[16316]: error: connect_to 98.208.82.172 port 22: failed.
Aug 31 08:04:53 server_name sshd[16316]: error: connect_to 98.208.82.213 port 22: failed.
Aug 31 08:04:56 server_name sshd[16316]: error: connect_to 98.208.82.241 port 22: failed.
Aug 31 08:04:58 server_name sshd[16316]: error: connect_to 98.210.209.25 port 22: failed.
Aug 31 08:04:58 server_name sshd[16316]: error: connect_to 98.210.209.29 port 22: failed.
Aug 31 08:04:58 server_name sshd[16316]: error: connect_to 98.210.209.48 port 22: failed.
Aug 31 08:04:59 server_name sshd[16316]: error: connect_to 98.210.209.55 port 22: failed.
Aug 31 08:04:59 server_name sshd[16316]: error: connect_to 98.210.209.61 port 22: failed.

Я проверил сервер на наличие уязвимостей, и все в порядке. Ssh не был настроен должным образом до сегодняшнего дня.

Я также провел проверку на вирусы, и ничто не заражено.

Что еще я могу проверить?

1

server ssh malware vulnerability

Источник

Mihai Ivan 31 авг '15 в 08:08

1 ответ

Другие вопросы по тегам server ssh malware vulnerability

Mihai Ivan 31 авг '15 в 08:41 2015-08-31 08:41 · Answer 1 · 2015-08-31 08:41

Я обнаружил проблему. Мы были взломаны, и пользователь делал попытки на других серверах.

Они использовали уязвимость в конфигурации Nagios, которая позволяет пользователю "nagios" делать логины. Мы отключили логины для этого пользователя и убили процесс, который делал попытки