Ustabil Fedora Core 64. Hvordan få ut mer info?

[bergetun]

Av en eller annen merkelig grunn så har en av linux serverene mine begynt å oppføre seg merkelig i det siste. De rebooter uten noe form for forvarsel uten at jeg klarer å finne ut hvorfor.

 

Visst jeg ser i messages loggen så kommer dette opp som oftest rett før en reboot

 

Aug 24 22:38:08 melb sshd(pam_unix)[2405]: check pass; user unknown

Aug 24 22:38:08 melb sshd(pam_unix)[2405]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=202.159.228.131

Aug 24 23:24:16 melb sshd(pam_unix)[2432]: session opened for user root by (uid=0)

Aug 24 23:54:30 melb sshd(pam_unix)[2483]: session opened for user root by (uid=0)

Aug 25 00:01:35 melb sshd(pam_unix)[2483]: session closed for user root

Aug 25 02:12:51 melb sshd(pam_unix)[2432]: session closed for user root

Aug 25 06:25:36 melb sshd(pam_unix)[3241]: check pass; user unknown

Aug 25 06:25:36 melb sshd(pam_unix)[3241]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=202.28.50.59

Aug 25 06:25:42 melb sshd(pam_unix)[3243]: check pass; user unknown

Aug 25 06:25:42 melb sshd(pam_unix)[3243]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=202.28.50.59

Aug 25 06:25:48 melb sshd(pam_unix)[3245]: check pass; user unknown

Aug 25 06:25:48 melb sshd(pam_unix)[3245]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=202.28.50.59

Aug 25 06:25:59 melb sshd(pam_unix)[3247]: check pass; user unknown

Aug 25 06:25:59 melb sshd(pam_unix)[3247]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=202.28.50.59

Aug 25 08:27:17 melb sshd(pam_unix)[3361]: session opened for user root by (uid=0)

Aug 25 09:15:22 melb syslogd 1.4.1: restart.

Aug 25 09:15:22 melb syslog: syslogd startup succeeded

Aug 25 09:15:22 melb kernel: klogd 1.4.1, log source = /proc/kmsg started.

 

Jeg vet ikke hvor denne 202.28.50.59 ipen kommer fra og hva han prøver å gjøre.

 

Aug 25 06:25:48 melb sshd(pam_unix)[3245]: check pass; user unknown

Aug 25 06:25:48 melb sshd(pam_unix)[3245]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=202.28.50.59

 

Noen som vet hva som skjer her ?

 

Takker for alle svar og mulig hjelp

[Bad_Byte]

Vell grattis, det er en som har funnet en box som tillater root login, og han/hun fant også tilfeldigvis passordet.

 

Redigier /etc/sshd.conf

 

Finn denne linja

#PermitRootLogin yes

og endre den til

PermitRootLogin no

 

også restart sshd, som root via

/etc/init.d/sshd restart

 

Og siden den ukjente inntrengeren nå veit hva passordet er, så vil jeg anbefale deg å bytte passord, kjør "passwd" som root for å bytte passord

 

Edit: leif / typo

Endret 25. august 2004 av Bad_Byte

[Bøb]

...Og for all del sjekk etter hva no denne karen kan ha fått til mens han har hatt tilgang. Det at han tilsynelatende har restartet pc'en i ny og ne tyder iallefall på noe snusk.