บนเซิร์ฟเวอร์ Ubuntu 16.04 ฉันได้รับคำเตือนจาก ISP ของฉันว่า IP ของฉันถูกใช้เพื่อโจมตีโฮสต์อื่นโดยมีไฟล์แนบต่อไปนี้:
May 23 22:42:07 shared02 sshd[23972]: Invalid user ircd from <my-ip>
May 23 22:42:07 shared02 sshd[23972]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=<my-ip>
May 23 22:42:09 shared02 sshd[23972]: Failed password for invalid user ircd from <my-ip> port 54952 ssh2
May 23 22:42:09 shared02 sshd[23972]: Received disconnect from <my-ip> port 54952:11: Normal Shutdown, Thank you for playing [preauth]
May 23 22:42:09 shared02 sshd[23972]: Disconnected from <my-ip> port 54952 [preauth]
ฉันตรวจสอบบันทึกการทำงานที่ /var/log/auth.log และพบว่าการโจมตีด้วยพจนานุกรมเกิดขึ้นอย่างน้อย 10 วันบนเซิร์ฟเวอร์ของฉันเองและในบางครั้งรหัสผ่านผู้ใช้ที่อ่อนแอก็แตก
ฉันถือว่าบอทโจมตีใช้การเข้าถึงนี้เพื่อโจมตีเป้าหมายอื่น ๆ ซึ่งเป็นสาเหตุที่ฉันได้รับคำเตือนก่อนหน้านี้ อย่างไรก็ตามฉันไม่ทราบว่ากิจกรรมนี้อาจถูกบันทึกไว้ที่ไหน มีไฟล์ใดบ้างที่มีข้อมูลนี้อยู่ในระบบ Ubuntu หรือไม่?
เช่นเดียวกับคำถามโบนัสฉันสังเกตเห็นว่าบอทพยายามที่จะบันทึกเป็นรูทจากผู้ใช้รายนี้ แต่เท่าที่ฉันสามารถบอกได้ว่ามันไม่ได้พยายาม sudo คำสั่งใด ๆ ทำไมมันถึงไม่ได้?