Ich bin relativ neu im Servergeschehen.
Aber eben war mein SQL-Server wegen zu vielen Anfragen auf Grund gelaufen.
Habe jetzt mal meine Logs gechecked und folgende Einträge gefunden:
Auszug:
Dec 9 20:53:11 h618026 sshd[28101]: Invalid user nareg from 66.232.110.2
Dec 9 20:53:09 h618026 sshd[28089]: Invalid user nareen from 66.232.110.2
Dec 9 20:53:07 h618026 sshd[28081]: Invalid user narcissia from 66.232.110.2
Dec 9 20:53:06 h618026 sshd[28076]: Invalid user narcisse from 66.232.110.2
Dec 9 20:53:04 h618026 sshd[28071]: Invalid user narcissa from 66.232.110.2
Dec 9 20:53:02 h618026 sshd[28066]: Invalid user narciso from 66.232.110.2
Dec 9 20:53:01 h618026 sshd[28061]: Invalid user narcis from 66.232.110.2
Dec 9 20:52:59 h618026 sshd[28056]: Invalid user narain from 66.232.110.2
Dec 9 20:52:58 h618026 sshd[28051]: Invalid user nara from 66.232.110.2
Der "User" ist immer ein anderer.
Kann ich das als gezielten ANgriff auf meinen Server werten? Kann ich das unterbinden?
Diese Pseudo-Angriffe auf den sshd sind harmlos, solange der Direktzugriff für root verboten und die Passwörter ausreichend sicher gewählt sind (oder noch besser nur Authentifzierung über public keys möglich ist). Gehört halt irgendwie zum Grundrauschen, von wirklich gezielten Angriffen kann man da eigentlich nicht sprechen.
Mit dem Absturz Deines Datenbankservers hat das aber nichts zu tun - was auch immer die Ursache dafür ist, nach der würde ich wirklich suchen. Wahrscheinlich eine Fehlkonfiguration, möglicherweise aber tatsächlich ein unvorsichtiger Einbrecher.
sshd ist dein secure shell daemon
die angriffe sind normal, wenn du die nicht mehr willst brauchst du nur den port von dem sshd auf einen anderen setzten.
das reduziert die angriffe fast auf null.
mysql solltest du nur auf den localhost interface binden.
somit ist dieser dann nicht mehr angreifbar.
wennn du ihn administrieren willst z.b. mit dem windows gui tools machst du dir einfachen einen ssh-tunnel zum server.
