上周我收到了很多来自我有服务器的公司的电子邮件。有人可以帮我解决这个“滥用”问题吗?使用 Linux Debian 8
我们检测到来自 IP 地址 XX.XX.XXX.XX 的滥用行为,根据 whois 查询,该地址在您的网络上。如果您能酌情进行调查并采取行动,我们将不胜感激。
下面给出了日志行,但请询问您是否需要任何进一步的信息。
(如果您不是正确的联系人,请接受我们的道歉 - 您的电子邮件地址是通过自动过程从 whois 记录中提取的。此邮件由 Fail2Ban 生成。)
注意:本地时区为 +0100 (CET) Dec 16 07:06:34 jazzmessengers sshd[27500]: Connection closed by XX.XX.XXX.XX
12 月 16 日 07:06:39 jazzmessengers sshd [27581]:来自 XX.XX.XXX.XX 端口 35074 ssh2 的 root 密码失败
12 月 16 日 07:06:41 jazzmessengers sshd [27581]:来自 XX.XX.XXX.XX 端口 35074 ssh2 的 root 密码失败
12 月 16 日 07:06:43 jazzmessengers sshd [27581]:来自 XX.XX.XXX.XX 端口 35074 ssh2 的 root 密码失败
12 月 16 日 07:06:43 jazzmessengers sshd [27583]:连接由 XX.XX.XXX.XX 关闭
12 月 16 日 09:14:58 jazzmessengers sshd[10829]:来自 XX.XX.XXX.XX 的用户测试无效
12 月 16 日 09:15:00 jazzmessengers sshd[10850]:来自 XX.XX.XXX.XX 的用户测试无效
12 月 16 日 09:15:01 jazzmessengers sshd [10829]:来自 XX.XX.XXX.XX 端口 40769 ssh2 的无效用户测试的密码失败
12 月 16 日 09:15:02 jazzmessengers sshd [10829]:来自 XX.XX.XXX.XX 端口 40769 ssh2 的无效用户测试的密码失败
12 月 16 日 09:15:02 jazzmessengers sshd[10831]:连接由 XX.XX.XXX.XX 关闭
12 月 16 日 09:15:02 jazzmessengers sshd [10850]:来自 XX.XX.XXX.XX 端口 44143 ssh2 的无效用户测试的密码失败
12 月 16 日 09:15:04 jazzmessengers sshd [10850]:来自 XX.XX.XXX.XX 端口 44143 ssh2 的无效用户测试的密码失败
12 月 16 日 11:17:35 jazzmessengers sshd [28958]:来自 XX.XX.XXX.XX 的用户 samba 无效
12 月 16 日 11:17:38 jazzmessengers sshd [28958]:来自 XX.XX.XXX.XX 端口 57529 ssh2 的无效用户 samba 的密码失败
(我删除了一部分,因为 Stackoverflow 认为它是垃圾邮件..)
12 月 16 日 17:11:40 jazzmessengers sshd [28478]:来自 XX.XX.XXX.XX 端口 46737 ssh2 的无效用户商业密码失败
12 月 16 日 17:11:40 jazzmessengers sshd [28480]:连接由 XX.XX.XXX.XX 关闭
12 月 16 日 17:11:40 jazzmessengers sshd [28489]:来自 XX.XX.XXX.XX 的无效用户商业广告
您的服务器被用来通过 SSH 暴力破解其他服务器。
“受害者”安装了带有“投诉”功能的 Fail2Ban,该功能执行 whois 查询(通过成熟的 net)并向与 IP 范围相关联的地址发送电子邮件。
你应该清理你的服务器上的恶意软件/病毒或其他坏东西(比如邪恶的用户)