На БЗДяшных серверах наблюдается такая картина (не только на БЗДяшных, на самом деле, просто у БЗДей очёт в удобном виде):mail.example.com login failures:
Mar 19 05:32:35 mail sshd[41429]: warning: /etc/hosts.allow, line 19: can't verify hostname: getaddrinfo(unknown168.121.65.69.defenderhosting.com, AF_INET) failed
Mar 19 23:52:53 mail sshd[45248]: Invalid user test from 165.141.177.14
....
Mar 19 23:53:20 mail sshd[45262]: Invalid user test from 165.141.177.14
mail.example.com refused connections:
Mar 19 09:10:34 mail sshd[41997]: refused connect from 203.95.106.20 (203.95.106.20)
Mar 19 14:51:28 mail sshd[43121]: refused connect from 202.121.131.112 (202.121.131.112)
Mar 19 16:31:26 mail sshd[43513]: refused connect from 221.236.245.165 (221.236.245.165)
Mar 19 16:38:32 mail sshd[43543]: refused connect from 221.236.245.165 (221.236.245.165)
Mar 19 23:53:21 mail sshd[45278]: refused connect from 165.141.177.14 (165.141.177.14)
Кроме того, анализ Netflow показывает, что на несуществующие адреса приходят пакеты, причём в количестве около 3 Гб за полмесяца на сеть с маской 255.255.255.0.
nmap на парочку таких адресов показал, что атака ведётся с линуксовых машин.
Хотелось бы узнать, вдруг кто ловил этого бота за руку? Как он зомбирует машины? Использует ли он какие-нибудь баги в софте/ядре? Только ли линуксовые машины подвержены зомбированию?
С этой информацией можно будет определить необходимые и достаточные меры по защите и лечению от этой гадости, и можно будет уже слать письма админам заражённых машин с просьбой уничтожить эту тварь)
Если что, могу пошариться по логам и выложить список всех адресов, замеченных в переборе.