Я дуже новачок в управлінні мережею, тому, будь ласка, врахуйте, що я ще не такий досвід.
У мене є кореневий сервер Ubuntu з панеллю plesk.
Вчора ми з друзями помітили, що якість мовлення на нашому TS3 дуже погана. Я надіслав кілька пінгерів на сервер, і втрата пакету була дуже великою. Після цього я трохи погуглився і дізнався, що є auth.log
. Я завантажив його і трохи прокрутив навколо, потім знайшов таке:
May 13 10:01:27 rs204941 sshd[9351]: input_userauth_request: invalid user student [preauth]
May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): check pass; user unknown
May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.220.198.102
May 13 10:01:29 rs204941 sshd[9351]: Failed password for invalid user student from 112.220.198.102 port 39806 ssh2
May 13 10:01:29 rs204941 sshd[9351]: Received disconnect from 112.220.198.102: 11: Bye Bye [preauth]
May 13 10:01:31 rs204941 sshd[9353]: Invalid user student from 112.220.198.102
Схоже, хтось намагався увійти через SSH багато разів. Я трохи прокрутив навколо і побачив, що цей хтось намагається використовувати безліч різних імен користувачів:student, tech, psi, news,...
Сотні цих входів були відображені у файлі.
Я переглянув статистику трафіку на веб-сайті свого центру обробки даних. Це було лише зі швидкістю 17 Мб на годину. У мене магістраль 100 Мбіт, тому сама передача даних, здається, не є проблемою.
На даний момент я ніяк не можу отримати доступ до сервера.
Моє запитання: як я можу знову отримати доступ, як я можу придушити цю атаку та запобігти наступним атакам?