VPS/debian - podejrzenie włamania

VPS/debian - podejrzenie włamania

qbas-s Zobacz profil	24.02.2014, 10:22:14 Post #1
Grupa: Zarejestrowani Postów: 304 Pomógł: 1 Dołączył: 28.06.2009 Ostrzeżenie: (0%)	wykupiłem sobie i skonfigurowałem(jako tako - bo nie jestem mistrzem jeśli chodzi o system tego rodzaju) debiana bo pewien crm wymagał specyficznych ustawień. Z dnia na dzień przestał działać. Najpierw myślałem, że to wina po stronie rejestratora domeny, potem, że w freedns.42.pl coś nie tak a na końcu się okazało, że znikły z plików wpisy dotyczące domeny. Więc skonfigurowałem jeszcze raz tylko tym razem dostaję Internal Server Error. Kiedy próbuję zalogować się do ispconfig też Internal Server Error. Do konsoli przez root'a mogę się zalogować. Możecie mi powiedzieć w których logach mam szukać co się stało i jakich mniej więcej wpisów. Jeden wpis w logach auth.log mnie niepokoi: sshd[5686]: pam_unix(sshd:auth) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= ) rhost=222.186.62.41 user=root sshd[5686]: Failed password for root from 222.186.62.41 port 1640 ssh2 //i tak wiele razy potem powtarza się często Failed password for root from 222.186.62.41 port 1640 ssh2 tylko na różnych portach Dziś w auth.log(nigdy nie dodawałem usera kalolina,kerstin itp) sshd[1630] Invalid user karolina from 163.177.25.32 //oczywiście niepowodzenie logowania sshd[5686]: pam_unix(sshd:auth) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= ) rhost=203.248.143.169 user=root Ten post edytował qbas-s 24.02.2014, 10:48:36