Internet pullula di delinquenti?

[Matteo Confente <m.conf@alice.it>]

Ho incontrato linux 1 anno fa (1 mese Mandrake poi Debian). Ora dopo 
molta fatica (per documentarmi e per provare in casa) ho messo in rete 
una macchina con Sarge con funzionalità di gateway-firewall, 
file-server, server di posta, server web e server ftp. Finchè si 
trattava di cose casalinghe non c'erano problemi ma il server in 
questione lo uso nella mia piccola azienda. Questo lavora solo da 10 
giorni ma con una media di una volta al giorno trovo sulla mia mailbox 
posta inviatami da logcheck con centinaia di righe del tipo:

Oct  1 01:51:45 coplast sshd[13855]: Illegal user a from 82.89.167.208
Oct  1 01:51:49 coplast sshd[13857]: Illegal user b from 82.89.167.208
Oct  1 01:51:53 coplast sshd[13859]: Illegal user c from 82.89.167.208
Oct  1 01:51:57 coplast sshd[13861]: Illegal user d from 82.89.167.208
Oct  1 01:52:01 coplast sshd[13863]: Illegal user e from 82.89.167.208
Oct  1 01:52:06 coplast sshd[13865]: Illegal user f from 82.89.167.208
Oct  1 01:52:10 coplast sshd[13867]: Illegal user g from 82.89.167.208
Oct  1 01:52:14 coplast sshd[13869]: Illegal user h from 82.89.167.208
Oct  1 01:52:18 coplast sshd[13871]: Illegal user i from 82.89.167.208
Oct  1 01:52:22 coplast sshd[13873]: Illegal user j from 82.89.167.208
Oct  1 01:52:27 coplast sshd[13875]: Illegal user k from 82.89.167.208
Oct  1 01:52:31 coplast sshd[13877]: Illegal user l from 82.89.167.208
Oct  1 01:52:35 coplast sshd[13879]: Illegal user m from 82.89.167.208
Oct  1 01:52:39 coplast sshd[13881]: Illegal user n from 82.89.167.208
Oct  1 01:52:44 coplast sshd[13883]: Illegal user o from 82.89.167.208
Oct  1 01:52:48 coplast sshd[13885]: Illegal user p from 82.89.167.208

ma anche relative al servizio di posta o di server ftp.

La scorsa notte poi è capitato che immediatamente dopo l'evento 
rappresentato dall'ultima riga, esattamente un secondo dopo, la macchina 
si è riavviata. Logcheck riporta tutti i log di avvio ma non mi 
suggerisce una causa. Non so chi o che cosa abbia causato il reboot ma 
tutti questi segnali che ricevo ogni giorno mi preoccupano.
Questo server ha le seguenti porte aperte verso internet: 21, 22, 25, 
80, 993, 995 e basta, solo quelle necessarie ai servizi che mi servono.
Non esistono utenti senza password; gli utenti del server ftp hanno 
accesso ristretto alle loro home directory; il server di posta richiede 
connessione criptata...
Io di sicurezza so molto poco perciò sebbene potrei elencare tutta una 
serie di precauzioni che ho preso nel configurare i vari servizi non 
potrei mai dire che la macchina è sicura.

Ora mi domando, è meglio se lascio perdere nel farmi i server da solo e 
vado da una qualche azienda specializzata che mi chiederà un sacco di 
soldi?
La rete globale internet è strapiena di delinquenti che non hanno niente 
da fare?
Oppure hanno da fare ma tanto hanno vari server dove girano script a 
raffica con l'obiettivo di bucare le macchine altrui?

Chiedo scusa a tutti se la mail è troppo lunga e se in questa lista si 
dovrebbe parlare solo di Debian mentre io... ...

Ciao. Matteo.