Что-то в логах на сервере...

[Tpona]

Добрый день!
Я новичок, но в разделе для новичков на мои вопросы никто не отвечает.

Посмотрите пожалуйста, о чем тут:

(Нажмите, чтобы показать/скрыть)

Mar 27 18:46:26 alpha proftpd[2620]: connect from 112.210.36.52 (112.210.36.52)
Mar 27 18:46:30 alpha proftpd[2624]: connect from 112.210.36.52 (112.210.36.52)
Mar 27 19:48:12 alpha ntpd[1535]: peer 79.140.42.157 now invalid
Mar 27 20:01:24 alpha ntpd[1535]: peer 91.218.89.74 now valid
Mar 27 20:32:26 alpha dhclient: DHCPREQUEST of 176.58.105.20 on eth0 to 176.58.111.6 port 67
Mar 27 20:32:26 alpha dhclient: DHCPACK of 176.58.105.20 from 176.58.111.6
Mar 27 20:32:26 alpha dhclient: bound to 176.58.105.20 -- renewal in 38892 seconds.
Mar 27 22:21:12 alpha ntpd[1535]: peer 91.218.89.74 now invalid
Mar 27 22:24:03 alpha udevd[957]: specified group 'fuse' unknown
Mar 27 22:24:12 alpha dbus-daemon: Reloaded configuration
Mar 27 22:24:51 alpha dbus-daemon: last message repeated 2 times
Mar 27 22:26:05 alpha init: hvc0 main process (2935) killed by TERM signal
Mar 27 22:27:25 alpha init: Failed to spawn atd main process: unable to execute: No such file or directory
Mar 27 22:27:26 alpha dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 7
Mar 27 22:27:26 alpha dhclient: DHCPOFFER of 176.58.105.20 from 176.58.111.6
Mar 27 22:27:26 alpha dhclient: DHCPREQUEST of 176.58.105.20 on eth0 to 255.255.255.255 port 67
Mar 27 22:27:26 alpha dhclient: DHCPACK of 176.58.105.20 from 176.58.106.63
Mar 27 22:27:26 alpha dhclient: bound to 176.58.105.20 -- renewal in 39256 seconds.
Mar 27 22:27:26 alpha /etc/mysql/debian-start[1548]: Upgrading MySQL tables if necessary.
Mar 27 22:27:26 alpha /etc/mysql/debian-start[1551]: /usr/bin/mysql_upgrade: the '--basedir' option is always ignored
Mar 27 22:27:26 alpha /etc/mysql/debian-start[1551]: Looking for 'mysql' as: /usr/bin/mysql
Mar 27 22:27:26 alpha /etc/mysql/debian-start[1551]: Looking for 'mysqlcheck' as: /usr/bin/mysqlcheck
Mar 27 22:27:26 alpha /etc/mysql/debian-start[1551]: This installation of MySQL is already upgraded to 5.1.73, use --force if you still need to run mysql_upgrade
Mar 27 22:27:26 alpha /etc/mysql/debian-start[1558]: Checking for insecure root accounts.
Mar 27 22:27:26 alpha /etc/mysql/debian-start[1562]: Triggering myisam-recover for all MyISAM tables
Mar 27 22:27:27 alpha ntpd[1580]: ntp engine ready
Mar 27 22:27:27 alpha init: ssh main process (1406) terminated with status 255
Mar 27 22:27:29 alpha ntpdate[1526]: adjust time server 193.175.73.151 offset 0.012944 sec
Mar 27 22:27:46 alpha ntpd[1580]: peer 94.100.192.29 now valid
Mar 27 22:27:47 alpha ntpd[1580]: peer 82.197.164.46 now valid
Mar 27 22:27:48 alpha ntpd[1580]: peer 77.72.144.59 now valid
Mar 27 22:27:51 alpha ntpd[1580]: peer 46.254.216.9 now valid
Mar 27 23:00:36 alpha ntpd[1580]: clock is now synced
Mar 27 23:26:31 alpha init: Failed to spawn atd main process: unable to execute: No such file or directory
Mar 27 23:26:32 alpha ntpd[1546]: ntp engine ready
Mar 27 23:26:32 alpha init: ssh main process (1409) terminated with status 255
Mar 27 23:26:32 alpha /etc/mysql/debian-start[1564]: Upgrading MySQL tables if necessary.
Mar 27 23:26:32 alpha /etc/mysql/debian-start[1567]: /usr/bin/mysql_upgrade: the '--basedir' option is always ignored
Mar 27 23:26:32 alpha /etc/mysql/debian-start[1567]: Looking for 'mysql' as: /usr/bin/mysql
Mar 27 23:26:32 alpha /etc/mysql/debian-start[1567]: Looking for 'mysqlcheck' as: /usr/bin/mysqlcheck
Mar 27 23:26:32 alpha /etc/mysql/debian-start[1567]: This installation of MySQL is already upgraded to 5.1.73, use --force if you still need to run mysql_upgrade
Mar 27 23:26:32 alpha /etc/mysql/debian-start[1574]: Checking for insecure root accounts.
Mar 27 23:26:32 alpha /etc/mysql/debian-start[1578]: Triggering myisam-recover for all MyISAM tables
Mar 27 23:26:34 alpha ntpdate[1442]: adjust time server 143.210.16.201 offset 0.029147 sec
Mar 27 23:26:50 alpha ntpd[1546]: peer 5.9.49.12 now valid
Mar 27 23:26:52 alpha ntpd[1546]: peer 91.121.103.138 now valid
Mar 27 23:26:52 alpha ntpd[1546]: peer 83.170.1.42 now valid
Mar 27 23:26:53 alpha ntpd[1546]: peer 77.66.33.146 now valid
Mar 27 23:43:46 alpha ntpd[1546]: clock is now synced
Mar 28 00:13:09 alpha proftpd[4945]: connect from 94.102.51.38 (94.102.51.38)
Mar 28 00:28:30 alpha ntpd[1546]: peer 83.170.1.42 now invalid
Mar 28 00:40:09 alpha ntpd[1546]: peer 212.43.246.10 now valid
Mar 28 03:01:05 alpha proftpd[10899]: connect from 217.107.214.19 (217.107.214.19)
Mar 28 03:01:29 alpha proftpd[10907]: connect from 217.107.214.19 (217.107.214.19)
Mar 28 03:01:29 alpha proftpd[10906]: connect from 217.107.214.19 (217.107.214.19)
Mar 28 03:01:29 alpha proftpd[10906]: notice: unable to listen to local socket: Operation not permitted
Mar 28 03:01:29 alpha proftpd[10908]: connect from 217.107.214.19 (217.107.214.19)
Mar 28 03:01:51 alpha proftpd[10914]: connect from 217.107.214.19 (217.107.214.19)
Mar 28 04:13:26 alpha proftpd[13082]: connect from 95.141.28.167 (95.141.28.167)
Mar 28 05:03:32 alpha proftpd[14638]: connect from 61.160.223.121 (61.160.223.121)

Это /var/log/daemon.log айпишники все иностранные, и самое интересное, что к proftpd коннектятся.
Вообще у меня проблема с попаданием IP моего сервера в спам-листы, хотя мы рассылкой спама не занимаемся, в день сервер шлет ну по 10 писем максимум, мне на почту, да пользователю, вроде подтверждения регистрации...
Заметил, что сервер шлет с определенной периодичностью письма на несуществующий email и они возвращаются, пользователь от имени которого шлются письма создан для доступа по ФТП - выгрузка объявлений на портал авто.ру, там робот забирает файлы.
Содержание отсылаемого письма - bla bla bla ))


Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тега [spоiler]...[/spоiler], либо прикреплять к сообщению в виде отдельного файла.
--HP

[NEOfantom]

и зачем вам на сервере публичная учетка? 
настраивайте права доступа.
mail.log или syslog смотрите (в зависимости от того куда логи MTA пишет), что бы понять имеет ли факт вторжения. по одному логу не определить легитимность в системе

[Tpona]

Подозрительное в /var/log/auth.log

(Нажмите, чтобы показать/скрыть)

Mar 29 06:32:08 alpha sshd[28437]: error: connect_to 173.194.70.100 port 25: failed.
Mar 29 06:32:29 alpha CRON[28254]: pam_unix(cron:session): session closed for user root
Mar 29 06:33:38 alpha sshd[28437]: error: connect_to 173.194.70.100 port 25: failed.
Mar 29 06:33:54 alpha sshd[28344]: pam_unix(sshd:session): session closed for user autoru
Mar 29 06:34:01 alpha CRON[29725]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 29 06:34:02 alpha CRON[29725]: pam_unix(cron:session): session closed for user root
Mar 29 06:43:37 alpha sshd[30072]: Accepted password for autoru from 178.63.100.196 port 43437 ssh2
Mar 29 06:43:37 alpha sshd[30072]: pam_unix(sshd:session): session opened for user autoru by (uid=0)
Mar 29 06:44:01 alpha CRON[30173]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 29 06:44:02 alpha CRON[30173]: pam_unix(cron:session): session closed for user root
Mar 29 06:46:01 alpha CRON[30430]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 29 06:46:01 alpha sshd[30167]: error: connect_to 173.194.70.100 port 25: failed.
Mar 29 06:46:01 alpha CRON[30430]: pam_unix(cron:session): session closed for user root
Mar 29 06:47:01 alpha CRON[30450]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 29 06:47:07 alpha CRON[30450]: pam_unix(cron:session): session closed for user root
Mar 29 06:47:46 alpha sshd[30167]: error: connect_to 173.194.70.100 port 25: failed.
Mar 29 06:47:46 alpha sshd[30167]: last message repeated 3 times

Периодом в минут 10 такие сообщения.
Что смущает так это логин пользователя autoru с немецкого IP 178.63.100.196

И вот еще интересный фрагмент:

(Нажмите, чтобы показать/скрыть)

Mar 29 07:07:32 alpha sshd[2057]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.105  user=root
Mar 29 07:07:33 alpha sshd[2057]: Failed password for root from 103.41.124.105 port 42634 ssh2
Mar 29 07:07:38 alpha sshd[2057]: last message repeated 2 times
Mar 29 07:07:38 alpha sshd[2057]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.105  user=root
Mar 29 07:07:39 alpha sshd[2061]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.105  user=root
Mar 29 07:07:41 alpha sshd[2061]: Failed password for root from 103.41.124.105 port 33240 ssh2
Mar 29 07:07:43 alpha sshd[2061]: Failed password for root from 103.41.124.105 port 33240 ssh2
Mar 29 07:07:44 alpha sshd[2064]: Accepted password for autoru from 178.63.100.196 port 54768 ssh2
Mar 29 07:07:44 alpha sshd[2064]: pam_unix(sshd:session): session opened for user autoru by (uid=0)
Mar 29 07:07:45 alpha sshd[2061]: Failed password for root from 103.41.124.105 port 33240 ssh2
Mar 29 07:07:45 alpha sshd[2061]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.105  user=root
Mar 29 07:07:46 alpha sshd[2157]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.105  user=root
Mar 29 07:07:48 alpha sshd[2157]: Failed password for root from 103.41.124.105 port 53397 ssh2
Mar 29 07:07:52 alpha sshd[2157]: last message repeated 2 times

Китайский IP 103.41.124.105 какого фига он долюится ко мне по руту? Я вчера пароль сменил, буду сейчас смотреть его до этого момента, были ли успешные входы.
Пользователь решил продолжить мысль [time]29 Март 2015, 13:41:58[/time]:Пришлось искать вручную, что-то мне /var/log/auth.log | grep " ... " выдает prmission denied
Успешных входов вроде небыло, думается, что такое не только у меня, что они пытаются сделать хз... если брутфорс, то так то им понадобится целая вечность ))
Пользователь решил продолжить мысль 29 Марта 2015, 13:02:40:Так с grep разобрался, ура я учусь ))

NEOfantom, как вы поняли, что есть публичная учетка? Как ее сделать непубличной? ))