Vell, idag når jeg skulle skjekke loggen til serveren min så oppdaget jeg noe rart. Jeg så dette om å om igjen, samt andre ting at det ble skrevet feil passord til SSH:

Heldigvis for meg så installerte jeg Fail2ban, APF, Log viewer for 2 dager siden så serveren er ganske sterk mot både DDoS og som dette, hacking..

Etter jeg så det så skrev jeg jo inn momentum.com og skjekket siden. Det ser ut som et hosting selskap som eier IPen.. Så søkte jeg etter IPen;

http://www.ip-adress.com/ip_tracer/66.240.180.116

Akkurat nå har jeg blokert IPen via brannmuren også vet jeg ikke hva mer som skal gjøres, om jeg skal skrive en klage til datasenteret eller hva..

Om jeg skal sende en klage, hvordan skal den se ut?

Takk for svar..

Null poeng i å klage noested sålenge ikke noen faktisk har brutt seg inn. Kan klippe ut kilometervis med slikt fra samtlige servere jeg har ansvar for... welcome to the wonderful world of sysadmins

sende en epost til abuse@momentum.com og fortelle de om det?

^what he said

Men de har vel ikke kommet seg inn?

Er bare å sette opp autoblock av ip etter 3 mislykkede passordforsøk på alt av tjenester som tillater tilkoblinger (ftp/ssh/etc)

IPen ble blokkert rett etter dette førsøket automatisk. Så da stoppet det..
Jeg har sendt en mail til den siden jeg linket til og fortalt om dette og vile sende inn en klage på selve IPen om de ikke gjør noe. (IPen vil da bli blokkert)

Nei, ser ingen spor etter at de har kommet seg inn i WHM eller SSH.. (WHM / cPanel).

De har ingen nytte av Root brukeren i SSH ettersom den ikke har noen funskjoner, den kan ikke installere noe eller slikt. Har laget ny root bruker.

Hvordan skal klagen se ut? Skal jeg bare skrive at jeg motar Brutoforce fra den IPen ? og legg med logg?

Mener med det? Er ikke helt klok på servere enda. Har satt regelen om blokkering ned til 3 forsøk og blokkert alle IPer som har prøvd seg på SSHen som jeg ikke kjenner igjen..

Får mange av disse om dagen. De fleste kommer nok fra botnett drevet av sosiopater. Har fail2ban installert, og det funker som bare dét. Gidder ikke å bry meg, for de klarer ikke gjette passordet på tre forsøk uansett.

Det kan være greit å si fra, men husk også at det trolig er sendt fra maskinene til uskyldige tredjepersoner.

Som en ekstra sikkerhet har jeg ssh-serveren gående på en ukurant port. Slik at all hamring på 22 stoppes i routeren...

Det her er helt vanlig. Og det er vel ikke noe problem så lenge han blir bannet?

Akkurat det samme skjedde når jeg holdt på med lamp server for noen år siden. Skrev for moroskyld adressa inn i nettleseren, og der kom det opp en side med telefonnummeret og hele pakka!

Endte opp i noen artige meldinger.
Nettsiden forsvant forøvrig ganske raskt