Qualcuno sta forzando la mia password? sshd: sconosciuto [net] e sshd: [accettato] lampeggiante in htop

9

Il mio VPS ha il carico della CPU intorno al 3%, che è probabilmente causato da sshd: unknown [net]e sshd: [accepted]comandi che appare intorno una volta al secondo e scomparendo rapidamente htop.

Significa che qualcuno sta cercando di forzare la mia password? Cosa faccio al riguardo?

ssh  vps 
Alexei Averchenko
fonte
Prova a guardare i tuoi registri.
Michael Hampton,
Sì, sono bruteforcing in base al dizionario :(
Alexei Averchenko

Risposte:

5

Controlla /var/log/auth.logche dovresti vedere un numero elevato di tentativi falliti se qualcuno sta cercando di attaccarti. È comunemente noto come rumore di fondo di Internet .

È possibile installare un sistema di rilevamento delle intrusioni basato su host come OSSEC e abilitare la risposta attiva a bloccare temporaneamente gli indirizzi IP offensivi.

Lucas Kauffman
fonte
1
root 5277 1.0 0.0 72228 3488 ? Ss 08:39 0:00 sshd: root [priv] sshd 5278 0.0 0.0 51472 1432 ? S 08:39 0:00 sshd: root [net], Ciò significa che alcuni hanno ottenuto l'accesso al server?
J Bourne,
9
  1. Controlla il tuo /var/log/auth.log

  2. Installa i bruteforer fail2ban e autoban ssh. Puoi modificare /etc/fail2ban/jail.conf:

    [ssh]

enabled = true
port    = 22
filter  = sshd
logpath  = /var/log/auth.log
bantime = -1
maxretry = 5
Valery Viktorovsky
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.