Denk niet dat jouw server nooit doelwit zal zijn van een hacker omdat je helemaal niets speciaals met je server doet en dus niet interessant genoeg zou zijn voor een hacker. Elke server die op het internet zit zal meerdere keren doelwit zijn van een poging om in te breken.
Veelal zullen het zogenaamde script kiddies zijn die ergens op internet een leuk hack scriptje gevonden hebben dat op een eenvoudige manier probeert toegang te krijgen tot een server.
De melding laat eigenlijk al zien wat er gebeurd. Er is iemand die via ssh toegang probeert te krijgen tot het systeem met het account root. Deze hacker doet dit vanaf het adres xxx.xxx.xxx.xxx.
Uiteraard heeft u in uw ssh daemon configuratie PermitRootLogin op No gezet, zodat het de hacker in kwestie zeker niet zal lukken om in te loggen als root, maar het is een teken dat er dus iemand een poging aan het ondernemen is.
Als de hacker in kwestie merkt dat het niet lukt, kan het zijn dat hij andere methodes gaat aanwenden om te proberen op de server te komen. Dus een signaal als bovenstaande moet u zeker niet negeren omdat het inloggen via root toch al uit staat.
Indien u dergelijke meldingen in de logs (op Centos worden deze meldingen gelogd in /var/log/secure) voorbij ziet komen kunt u het beste de toegang tot uw server voor het betreffende ip-adres blokkeren. Dit kan het beste door deze toe te voegen aan uw firewall configuratie middels volgend commando :
# iptables -I INPUT -s xxx.xxx.xxx.xxx -j DROP
Let op om hier dus de -I optie (insert !) te gebruiken in plaats van de -A (append).
