私は Wowza メディア サーバーのみがインストールされている VPS を持っています。VPS 管理者から、VPS が SSH から他のサーバーを攻撃してスパムを送信しているという報告を受けました。その理由が何なのか全くわかりません。
MAC ターミナルを使用して VPS にアクセスしています。ウイルスでしょうか? パスワードが侵害されたのでしょうか? どうすればわかりますか?
VPS 管理者からの詳細: 「これはスパム メールのようなスパムではなく、SSH コンソール接続からのスパムです。サーバーは、世界中のさまざまな機器に SSH で接続しようとするボットで使用されていました。」
答え1
ということは、結局、スパム (迷惑な商業メール) を送信していたわけではないということですか? 他のシステムに SSH 接続しようとしていたということですね... 質問を編集して、その点を明確にしてください。質問の内容は、あなたが書いた内容とはまったく異なります。
話を元に戻すと、これはサーバーが侵害されている。 必要があるすぐに切断するそして調べるどうやってそれが起こりました。考えられる原因は 2 つあります。
- 脆弱でパッチ未適用のサービスが稼働中
- SSHパスワードが弱く、推測またはブルートフォース攻撃を受けたため、SSH経由でルートログインを許可しました。
後者は、SSH からのエントリのシステム ログを確認するか、コマンドを使用するだけで簡単に識別できる可能性がありますlast(どちらも、攻撃者が不注意で痕跡を隠そうとしていることを前提としています)。