Utilizzo molto spesso i servizi cloud di Google. In particolare ho una sessione di Compute Engine, che ha una sessione Ubuntu senza grafica, che uso per sviluppare e collaudare alcuni codici.
Controllando i log di sistema, in particolare /var/log/auth.log ho un'enorme quantità di connessioni sospette, che il log traccia in questo modo:
Codice: Seleziona tutto
Jun 26 13:55:49 server-gcp-28-aprile-2021 sshd[3532]: Connection closed by invalid user telecomadmin 42.113.184.59 port 27322 [preauth]
Jun 26 13:55:56 server-gcp-28-aprile-2021 sshd[3561]: Invalid user telecomadmin from 42.113.184.59 port 58407
Jun 26 13:55:56 server-gcp-28-aprile-2021 sshd[3561]: Connection closed by invalid user telecomadmin 42.113.184.59 port 58407 [preauth]
Jun 26 13:56:03 server-gcp-28-aprile-2021 sshd[3563]: Invalid user telecomadmin from 42.113.184.59 port 19473
Jun 26 13:56:04 server-gcp-28-aprile-2021 sshd[3563]: Connection closed by invalid user telecomadmin 42.113.184.59 port 19473 [preauth]
Jun 26 13:56:11 server-gcp-28-aprile-2021 sshd[5956]: Invalid user telecomadmin from 42.113.184.59 port 49660
Jun 26 13:56:11 server-gcp-28-aprile-2021 sshd[5956]: Connection closed by invalid user telecomadmin 42.113.184.59 port 49660 [preauth]
A questo punto la mia domanda è: tutti questi record appartenenti a questo log, tracciano semplicemente le mie connessioni, oppure esiste un'utenza fittizia che non conosco, che si chiama "telecomadmin", che tenta di entrarmi nella sessione remota?
Il mio sospetto è dovuto al fatto che questa utenza, è completamente sconosciuta. Mai sentita, ed io sicuramente non l'ho mai creata.
Il mio sospetto è che, magari, qualche servizio di tracciamento o di marketing rilevi le mie connessioni all'istanza remota, e tenti di stabilirne anche lui, a scopo di profilazione, o tracciamento, ma mi sembra un po debole come ipotesi.
Qualcuno di voi usa questi servizi? Sa cosa potrebbe essere?
Grazie mille.