Gentili utenti sono stati individuati dal sistema di sicurezza del server file malevoli che sono stati prontamente bloccati ed eliminati.
Il blackout dei servizi è iniziato alle 11.00 del 23/11 e terminato alle 20.40
Abbiamo risolto il problema e dai LOG di sistema abbiamo evidenziato che:
Questi log mostrano diversi aspetti del sistema in esecuzione e della rete, con alcune note importanti:
Le prime righe indicano una normale procedura di logout e chiusura della sessione utente con systemd. L'unità user@1007.service è stata fermata con successo, e le directory runtime utente e i target associati sono stati arrestati ordinatamente. Questo indica che la sessione dell'utente si è chiusa senza errori.
Molte voci successive riportano messaggi del kernel relativi al firewall che blocca tentativi di connessioni TCP in ingresso (TCP_IN Blocked). Questo è un comportamento normale quando il firewall è configurato per bloccare pacchetti su porte non autorizzate o da IP non consentiti. Questi messaggi documentano tentativi di connessioni da molteplici IP che hanno tentato di instaurare connessioni su porte diverse, tutte bloccate per motivi di sicurezza. È un buon segno che il firewall stia proteggendo il sistema da accessi indesiderati.
Ci sono messaggi di Postfix (server SMTP) che mostrano tentativi di connessioni e tentativi falliti di autenticazione SASL LOGIN. Questo significa che qualcuno (probabilmente client o bot) ha tentato di autenticarsi al server di posta con username/password errati, e il server ha respinto questi tentativi. Questo è un comportamento comune in server di posta esposti a Internet, indicante possibili tentativi di brute force o tentativi di accesso non autorizzati. La gestione appropriata include assicurarsi che le password siano robuste e che il server di posta abbia misure di protezione come rate limiting e blocco IP. Se non si usa SASL, è possibile disattivarlo per ridurre i log.
In sintesi, i log indicano una normale chiusura di sessione utente, con un firewall attivo e funzionante che blocca connessioni indesiderate, e un server di posta che respinge tentativi di login falliti, comportamenti tutti coerenti con un sistema sicuro e ben gestito.
Buon lavoro
