Il sistema esegue un daemon SSH e un server Web nginx, entrambe le porte sono aperte a Internet. Facciamo parte di un'università, quindi le nostre porte vengono inoltrate dal router principale alla intranet.
Verso le 19:00, il daemon SSH smette di rispondere a tutte le richieste di accesso. Tutte le password e le chiavi SSH non sembrano valide. Abbiamo risposto portando la macchina offline due ore dopo l'incidente, nel caso in cui fosse più di un "problema tecnico".
Ho controllato anche i log dei daemon, e non c'è motivo di sospettare che il processo sia stato interrotto, poiché stava ancora rispondendo alle richieste di password, semplicemente non permettendo ad alcun utente di accedere con le credenziali corrette.
Ho escluso l'errore dell'utente esaminando i file di cronologia della shell. L'unica altra opzione è che siamo stati attaccati. Quindi la mia domanda è: è un problema con OpenSSH, o il mio sistema è stato violato?
Mi rendo conto che questa è una domanda molto ampia con pochi dettagli, quindi fornirò ulteriori informazioni su richiesta.
Modifica In esecuzione su Fedora 20 Heisenbug con OpenSSH v.6.4p1 e Nginx v1.6.0 Non sono sicuro di quale software di auditing sia disponibile in Fedora. Qualcuno potrebbe suggerire