Hallo,
ich habe einen vServer mit Ubuntu (Apache Webserver, PHP, ftp-Server) und die unten angehängte Nachricht zu einem Abuse erhalten (IP habe ich anonymisiert) und bin ein wenig ratlos wie ich hier vorgehen soll.
Bedeutet das, dass ein Fremder Zugang zu meinem Server?
Soll ich Passwörter ändern?
Sehe ich aus Log-Dateien was hier vorgeht?
Das System sollte eigentlich aktuell sein (Ubuntu 16.04.5 LTS).
Danke im Voraus für jeden Hinweis!
lg, andreas
Dear Sir/Madam, We have detected abuse from the IP address ( 46.xxx.xxx.xxx ), which according to a whois lookup is on your network. We would appreciate if you would investigate and take action as appropriate. Any feedback is welcome but not mandatory. Log lines are given below, but please ask if you require any further information. (If you are not the correct person to contact about this please accept our apologies - your e-mail address was extracted from the whois record by an automated process. This mail was generated by Fail2Ban.) IP of the attacker: 46.xxx.xxx.xxx You can contact us by using: abuse-reply@keyweb.de Addresses to send to: abuse@xxxxxxxx.xxx ==================== Excerpt from log for 46.xxx.xxx.xxx ==================== Note: Local timezone is +0100 (CET) Dec 14 10:01:25 keyhelp sshd[13731]: Invalid user ll from 46.xxx.xxx.xxx Dec 14 10:01:25 keyhelp sshd[13731]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=46.xxx.xxx.xxx Dec 14 10:01:27 keyhelp sshd[13731]: Failed password for invalid user ll from 46.xxx.xxx.xxx port 36866 ssh2 Dec 14 10:01:27 keyhelp sshd[13731]: Received disconnect from 46.xxx.xxx.xxx port 36866:11: Bye Bye [preauth] Dec 14 10:01:27 keyhelp sshd[13731]: Disconnected from 46.xxx.xxx.xxx port 36866 [preauth] Mit freundlichen Grüßen
Bearbeitet von sebix:
Syntax ergaenzt.