Ich habe kürzlich einen Artikel über die Analyse böswilliger SSH-Anmeldeversuche gelesen . Das brachte mich zum Nachdenken, sind der SSH-Benutzername und die Passwortkombinationen auf meiner Debian-Box so ungewöhnlich? War ich von einem Brute-Force-Wörterbuchangriff angegriffen worden? Werfen wir einen Blick auf /var/log/auth.log.0 :
Sep 23 07:42:04 SLUG sshd[8303]: Invalid user tyjuan from 210.168.200.190
Sep 23 07:42:09 SLUG sshd[8305]: Invalid user tykeedra from 210.168.200.190
Sep 23 07:42:14 SLUG sshd[8307]: Invalid user tykeem from 210.168.200.190
Sep 23 07:42:19 SLUG sshd[8309]: Invalid user tykeshia from 210.168.200.190
Sep 23 07:42:25 SLUG sshd[8311]: Invalid user tyla from 210.168.200.190
Sep 23 07:42:30 SLUG sshd[8313]: Invalid user tylan from 210.168.200.190
Sep 23 07:42:35 SLUG sshd[8315]: Invalid user tylar from 210.168.200.190
Sep 23 07:42:40 SLUG sshd[8317]: Invalid user tyler from 210.168.200.190
Sep 23 07:42:45 SLUG sshd[8319]: Invalid user tylerfrank from 210.168.200.190
Sep 23 07:42:50 SLUG sshd[8321]: Invalid user tyliah from 210.168.200.190
Sep 23 07:42:55 SLUG sshd[8323]: Invalid user tylor from 210.168.200.190
Das sieht also nicht gut aus. Jetzt, da ich weiß, dass ich von einem Angriff angegriffen wurde und einige meiner Kombinationen aus Benutzername und Passwort schwach sind, würde ich gerne wissen, wie ich ...
- ... feststellen, ob meine Linux-Box infiltriert wurde?
- ... den von den Tätern hinterlassenen Schaden rückgängig machen?
- ... dies in Zukunft verhindern?
AKTUALISIEREN
Irgendwelche Ratschläge, um den Schaden, den die Täter hinterlassen haben, rückgängig zu machen?