Hilfe bei möglichem Hackerangriff

    Hallo zusammen,


    ich habe folgendes Problem:
    Ich habe den Server mit Nextcloud, einer kleinen Website und Mailserver laufen. Nun ist mir in den Logs von Nextcloud aufgefallen, dass 2 unterschiedliche IPs versucht haben sich einzuloggen, dabei jedoch über 3 unterschiedliche deutsche Domains auf die Website gegangen sind, die allesamt nicht mir gehören, aber auf meine IP zeigen. Diese Domains gehören ein und der selben Person, die IPs, die zugreifen wollten scheinen aber aus anderen Ländern zu kommen.
    Das hat mich etwas stutzig gemacht und ich hab mal einen Blick in die Auth-Logs geworfen.
    Dort sind mehrere Einträge a la "Invalid user postgres from ******" mit unterschiedlichen Usern, aber der selben IP, die laut Whois zu einem großen chinesischen Konzern gehört.
    Solche Phänomene hatte ich bisher ehrlich gesagt noch nie, konnte aber auch keinen Zugriff auf meinen Server feststellen.
    Was sagt ihr dazu, mich würde einfach mal eure Meinung interessieren, ob ihr sowas schonmal gesehen habt.


    Gruß,
    sral1996

    Klingt nach Grundrauschen. Wenn die Versuche nicht erfolgreich waren und nicht so oft auftauchen, dass es den Server beeinträchtigt, sehe ich da keinen Handlungsbedarf. Nütze sichere Passwörter und Ende der Geschichte. Für SSH eventuell noch auf Public Keys umstellen, dann schläft man ruhiger.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Auf Public Keys hab ich direkt am Anfang umgestellt. Hab jetzt zusätzlich nochmal den Port geändert, seitdem scheint dort Ruhe zu sein. Ansonsten ist mir nur aufgefallen, dass jede Nacht der RAM-Verbrauch von Apache in die Höhe geht, die Zeiten sind dabei immer auf die Minute die selben. Weiß aber nicht so genau, was da nachts läuft..