Durante los últimos dos días he visto muchas líneas en mi /var/log/auth.log que parecen:
sshd[xxxxx]: error: connect_to 0.gravatar.com port 80: failed
sshd[xxxxx]: error: connect_to 1.gravatar.com port 80: failed
sshd[xxxxx]: error: connect_to 2.gravatar.com port 80: failed
No creo que nada en mi servidor use gravatar, e incluso si lo hiciera, no veo por qué debería estar involucrado sshd. Además, los informes aparecieron "al azar" y ha habido alrededor de 100 intentos fallidos por cada dirección gravatar por día.
He intentado hacer un poco de diagnóstico, pero no soy un experto. Intenté buscar scripts que usan gravatar (con grep en mi directorio web) y no he encontrado nada (lo que es más sospechoso).
Mientras cavaba, encontré dos directorios que me preocupan:
/tmp/.X11-unix
/tmp/.ICE-unix
Pensé que deshabilité X11 en mi servidor porque no lo uso, y no tengo nada que ver con el IRC ni con ninguna otra cosa que pueda imaginar que estaría en .ICE-unix. No hay nada en en ninguno de los directorios, pero su existencia me resulta sospechosa (posiblemente debido a mi propia ignorancia).
No puedo encontrar ninguna otra evidencia de que me hayan pirateado, y pensé que tenía una nave bastante cerrada, pero obviamente estoy preocupado por esto. Ejecuto un servidor Debian y me aseguro de que cada paquete se actualice cada semana. Soy nuevo en este sitio y estoy investigando un hack, por lo que aprecio su paciencia y si hay algo que pueda hacer para que me ayude, hágamelo saber (le haré saber que he leído toneladas de artículos y me esforcé tanto como pude antes de preguntar aquí, porque valoro todo su tiempo).