Да, это нормально.
Прочтите эту интересную статью Symantec на тему «Анализ вредоносных попыток входа по SSH ».
Вот 20 самых неудачных имен учетных записей и количество попыток входа на мой сервер с 1 апреля:
2919 root
194 admin
122 test
83 zabbix
67 user
66 ftpuser
65 postgres
60 mysql
58 nagios
49 ubuntu
44 www-data
43 pi
42 support
42 oracle
39 jboss
36 guest
34 usuario
33 tomcat
32 dell
30 www
root
Вход по ssh отключен, остальные имена учетных записей не существуют или имеют /usr/sbin/nologin
или /bin/false
в качестве оболочки. Так что не о чем беспокоиться.
Я установил fail2ban
, чтобы уменьшить количество возможных попыток за раз, но поскольку попытки исходят от ботнетов с большим количеством IP-адресов, а fail2ban
работает с IP-адресами, это не слишком эффективно.
Следующим возможным вариантом уменьшения количества попыток будет изменение порта ssh
.
Команда для сбора этой информации:
grep -ho 'Failed password for.*' /var/log/auth.log{,.1} \
| awk '{if ($4=="invalid") { print $6 } else { print $4 } }' \
| sort | uniq -c | sort -nr | head -n20
Если у вас есть доступ к панели управления маршрутизатора или таблице DHCP, вы можете найти список клиентов, которым назначен локальный IP-адрес, а также их MAC-адреса.
В соответствии с вашим мнением, я не думаю, что автозапуск работает в безголовой среде. сценарии в автозапуске вызываются вашим оконным менеджером (или средой отображения, я не совсем помню, что это ).
Из командной строки на ноутбуке запустите
#> arp -a
Это проверит таблицы arp на коммутаторе. Ноутбук должен быть в той же подсети и переключаться, чтобы видеть его с вашего ноутбука. должен получить что-то вроде
Interface: 192.168.1.46 --- 0xa Internet Address Physical Address Type
169.254.7.252 a8-54-b2-90-fa-65 dynamic
192.168.1.1 04-d4-c4-63-46-74 dynamic
192.168.1.18 74-40-bb-b8-53-6f dynamic
192.168.1.26 6c-40-08-a4-86-e0 dynamic
192.168.1.32 c0-f8-da-80-11-69 dynamic
192.168.1.49 00-d0-2d-49-a9-e1 dynamic
192.168.1.55 c0-56-e3-a0-ea-27 dynamic
192.168.1.56 c4-2f-90-d4-25-1b dynamic
192.168.1.57 44-47-cc-89-19-92 dynamic
192.168.1.59 ec-71-db-b7-4c-bd dynamic
192.168.1.66 4c-1b-86-ee-f6-bd dynamic
192.168.1.81 fc-03-9f-50-df-32 dynamic
192.168.1.103 a8-54-b2-90-fa-65 dynamic
192.168.1.109 a8-47-4a-77-c0-c1 dynamic
192.168.1.115 ec-71-db-aa-2b-90 dynamic
Теперь у вас есть адрес и MAC, осталось выяснить, какой из них к чему относится. netstat может помочь с этим, если вы еще не знаете IP.
Также новые системы будут иметь ip neigh для современного arp -команда
Удачи.