¿Mi servidor ha sido hackeado?

2

Recientemente, mi host (OVH) cerró mi servidor debido a que enviaba correo no deseado a otra IP:

enter image description here

No tengo idea de lo que es la otra IP. No parece ser una página web (o si lo es, no puedo conectarme a ella).

Aquí están mis últimos registros de autenticación: enter image description here

Mi IP actual en el momento de la escritura es 146.90.203.194.

¿Me han pirateado o hay simplemente un software defectuoso? Si he sido hackeado, ¿qué puedo hacer al respecto?

Por cierto, no uso ninguna clave, solo uso la autenticación de contraseña.

El servidor se apagó aproximadamente a las 11:30, que es la misma hora que el registro mostrado anteriormente.

linux Joehot200
fuente

Respuestas:

1

No has sido hackeado, has sido DDoS. Aquí hay una página (en francés) sobre cómo lidiar con los ataques DDoS: https://www.ovh.com/fr/anti-ddos/gestion-attaque-ddos.xml Algunos documentos: http://en.wikipedia.org/wiki/Denial-of-service_attack

Además, tienes fuerza bruta: un robot intenta encontrar tu contraseña. Asegúrese de que su contraseña sea segura, también puede instalar fail2ban para prohibir la aplicación de la ley de forzados brutos.

Dano
fuente
Mi servidor está ENVIANDO el ataque DoS. No recibirlo. La IP que comienza con 91, especificada como la IP de origen, es la IP de mi servidor. Además, gracias por hacerme saber que no estoy hackeado.
Joehot200
Oh, bueno, lo he leído mal, eso lo cambia todo. Así que sí, podrías ser hackeado. Escriba "w" en un terminal para ver quién está conectado y cambie todas sus contraseñas.
Dano
¿Podría ser también una pieza de software malicioso? Si es así, ¿hay alguna manera para que pueda localizarlo?
Joehot200
@Ramhound No sé qué podría ser una buena copia de seguridad. Ejecuto un servidor de Minecraft, y alguien podría haber agregado un exploit inactivo allí durante meses antes de usarlo, que en realidad es lo que la mayoría de ellos hacen para que se infecten los servidores. Simplemente no hay forma de que sepa qué copia de seguridad no está infectada, o si incluso CUALQUIERA de las copias de seguridad no están infectadas.
Joehot200
@Ramhound ¿No es posible bloquear una, todas las conexiones salientes iniciadas y dos verificar las conexiones salientes para ver qué aplicaciones las crearon? ¿No es eso posible?
Joehot200