ฉันยังใหม่ต่อการบริหารเครือข่ายดังนั้นโปรดพิจารณาว่าฉันยังไม่เคยมีประสบการณ์
ฉันมีรูทเซิร์ฟเวอร์ Ubuntu พร้อมแผงควบคุม
เมื่อวานเพื่อนของฉันและฉันสังเกตเห็นว่าคุณภาพการพูดของ TS3 ของเราแย่มาก ฉันส่ง Ping ไปที่เซิร์ฟเวอร์และมีการสูญเสียแพ็คเก็ตที่สูงมาก หลังจากนั้นฉัน googled auth.log
บิตและพบว่ามีการ ฉันดาวน์โหลดและเลื่อนไปรอบ ๆ แล้วฉันพบสิ่งนี้:
May 13 10:01:27 rs204941 sshd[9351]: input_userauth_request: invalid user student [preauth]
May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): check pass; user unknown
May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.220.198.102
May 13 10:01:29 rs204941 sshd[9351]: Failed password for invalid user student from 112.220.198.102 port 39806 ssh2
May 13 10:01:29 rs204941 sshd[9351]: Received disconnect from 112.220.198.102: 11: Bye Bye [preauth]
May 13 10:01:31 rs204941 sshd[9353]: Invalid user student from 112.220.198.102
ดูเหมือนว่ามีคนพยายามลงชื่อเข้าใช้ SSH หลายครั้ง ฉันเลื่อนไปรอบ ๆ และเห็นว่ามีคนพยายามใช้ชื่อผู้ใช้ที่แตกต่างกัน:student, tech, psi, news,...
มีการลงชื่อเข้าใช้หลายร้อยรายการในไฟล์
ฉันค้นหาสถิติการเข้าชมที่เว็บไซต์ของดาต้าเซ็นเตอร์ของฉัน มันอยู่ที่ 17MB ต่อชั่วโมงเท่านั้น ฉันมี 100Mbit Backbone ดังนั้นการถ่ายโอนข้อมูลของตัวเองดูเหมือนจะไม่เป็นปัญหา
ในขณะนี้ฉันไม่สามารถเข้าถึงเซิร์ฟเวอร์ได้ แต่อย่างใด
คำถามของฉันคือฉันจะได้รับ acces อีกครั้งได้อย่างไรฉันจะเอาชนะการโจมตีนี้และป้องกันการโจมตีต่อไปได้อย่างไร