Hallo, ich habe ein echt schlechtes Problem.
Ich habe gestern eine Meldung von blocklist.de bekommen dass mein Server anscheinend einen Server namens manitu1 attackiert hat
( manitu1 steht da mehr nicht..) und dass es ein ssh angriff war.
Das war um 3:30 ca steht da. Da war ich schlafen. Heute bekam ich wieder ne mail aber diesmal von it-incident@iu.edu . Da steht ich habe um 2:40 angegriffen
. Irgendwas mit guzzle9, Snort Alert, attempted login with suspicious username was detected,<myri0> ,ne ip die angegriffen wurde mit port 22. Meine ip mit port 34119.
Ich war in beiden Fällen nicht wach bzw nicht am Server. Hab ich einen Virus oder was? Ich hab Freebsd 11 , mit apache , mysql und php drauf. Hab einiges probiert muss ich zugeben, also paar scripts da ich mich kaum auskenne damit, vielleicht habe ich mir dabei was eingefangen. Und ich kenn mich auch nicht so aus mit Logs oder so wie man nachschauen kann zb wer da eingeloggt war oder welches programm zu der zeit diesen port zb benutzt hat. Gibt es vlt was dafuer?