本日の朝に30分にかけて、3秒に一回のペースで etc/atuh.log に上記の書き込みがありました。
Oct 2 08:58:33 **** sshd[86457]: Failed password for root from 194.204.212.10 port 36883 ssh2
Oct 2 08:58:36 **** sshd[86459]: Failed password for root from 194.204.212.10 port 37041 ssh2
Oct 2 08:58:39 **** sshd[86461]: Failed password for root from 194.204.212.10 port 37195 ssh2
Oct 2 08:58:42 **** sshd[86463]: Failed password for root from 194.204.212.10 port 37359 ssh2
Oct 2 08:58:48 **** sshd[86465]: Failed password for root from 194.204.212.10 port 37520 ssh2
ログインには失敗しており、root のパスワードが削除され、何も無しで入ることが出来てしまいました。特に入られた形跡は無いのですが、この「194.204.212.10」IPアドレスはモロッコ(Morocco-ONPT-6713)のもののようですし、httpで上記URL接続すると管理者ページのようなものが出てきます。
何か有用な情報をお教え頂けますでしょうか?
(サーバーの運用はさくらインターネットの「さくら専用サーバ」で利用しています。)
root のパスワードが削除され、何も無しで入ることが出来てしまいました。
これは侵入された形跡ではないのでしょうか?
root で侵入された場合、ログに信ぴょう性はありあません。
好きなように改ざんできるからです。
おそらくはブルーとフォースアタックでパスワードが破られた見るべきではないでしょうか。
OS ごと再インストールされることをお勧めします。
ありがとうございます。
基本的には、ブルートフォースアタック(総当り)の耐久性のあるパスワードには、なっているのですが。。。再インストールの件ありがとうございます。