作業していた時に何気なくnetstatを見たら見たことも無いIPアドレスからxinetd経由で22番ポートに接続されステータスがESTABLISHになっていたのでびっくり。入られた！？かと思いました。

でもよく考えてみればSSHにセッションを張られただけでも、ESTABLISHにはなるはず、パスワード認証を通されたのとは別だよね、と。それにSSHはパスワード認証は許可していないのでまぁ大丈夫か。
/var/log/secureを見てみると、こんなログがわさわさと、、、

Feb 21 05:33:48 ***** xinetd[26271]: START: ssh pid=11295 from=216.40.225.63
Feb 21 05:33:49 ***** sshd[11295]: reverse mapping checking getaddrinfo for ev1s-216-40-225-63.ev1servers.net [216.40.225.63] failed - POSSIBLE BREAK-IN ATTEMPT!
Feb 21 05:33:49 ***** sshd[11295]: Invalid user akov from 216.40.225.63
Feb 21 05:33:49 ***** sshd[11295]: error: Could not get shadow information for NOUSER
Feb 21 05:33:49 ***** sshd[11295]: Failed password for invalid user akov from 216.40.225.63 port 36805 ssh2

ホスト名も、IPも晒してしまえ。
どうやらブルートフォースアタックみたいですね、とりあえず総当りでユーザーとパスワードをぶっつけてみよう、みたいな。
iptables設定しなきゃなーと思っていたところなので、ちょうどいい引き締め材料になりました。
やっぱり、セキュリティ対策はきちっとしないとだめですね、それにSSHのポート番号も変えてしまおう。

ちなみにPOSSIBLE BREAK-IN ATTEMPT!をそのままyahoo翻訳してみたら「ありうる侵入未遂！」でした