मैं नेटवर्क प्रशासन के लिए बहुत नया हूं, इसलिए कृपया ध्यान दें कि मैं अभी तक ऐसा अनुभव नहीं कर रहा हूं।
मेरे पास plesk पैनल के साथ एक Ubuntu रूट सर्वर है।
कल मेरे दोस्तों और मैंने देखा कि हमारे TS3 पर भाषण की गुणवत्ता बहुत खराब हो गई। मैंने सर्वर को कुछ पिंग्स भेजे और बहुत ही उच्च पैकेट नुकसान हुआ। उसके बाद मैं थोड़ा सा पीछे हट गया और पता चला कि वहाँ एक है auth.log
। मैंने इसे डाउनलोड किया और थोड़ा सा चारों ओर स्क्रॉल किया, फिर मुझे यह मिला:
May 13 10:01:27 rs204941 sshd[9351]: input_userauth_request: invalid user student [preauth]
May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): check pass; user unknown
May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.220.198.102
May 13 10:01:29 rs204941 sshd[9351]: Failed password for invalid user student from 112.220.198.102 port 39806 ssh2
May 13 10:01:29 rs204941 sshd[9351]: Received disconnect from 112.220.198.102: 11: Bye Bye [preauth]
May 13 10:01:31 rs204941 sshd[9353]: Invalid user student from 112.220.198.102
ऐसा लगता है कि किसी ने कई बार SSH के ऊपर लॉग इन करने की कोशिश की। मैंने थोड़ा स्क्रॉल किया, और देखा, कि यह कोई कई अलग-अलग उपयोगकर्ता नामों का उपयोग करने की कोशिश करता है:student, tech, psi, news,...
इन लॉगिन के सैकड़ों फ़ाइल में प्रदर्शित किए गए थे।
मैंने अपने डेटासेंटर की वेबसाइट पर ट्रैफ़िक के आँकड़ों को देखा। यह केवल 17 एमबी प्रति घंटे की रफ्तार पर था। मेरे पास 100Mbit का बैकबोन है, इसलिए डेटा ट्रांसफर ही समस्या नहीं है।
फिलहाल मुझे सर्वर से किसी भी तरह से एक्सीस नहीं मिल सकता है।
मेरा प्रश्न है: मैं फिर से कैसे आरोप पा सकता हूं, मैं इस हमले को कैसे समझ सकता हूं और निम्नलिखित हमलों को रोक सकता हूं?