Alguém está brutalmente forçando minha senha? sshd: desconhecido [net] e sshd: [aceito] piscando no htop

9

Meu VPS possui cerca de 3% de carga da CPU, o que provavelmente é causado por sshd: unknown [net]e sshd: [accepted]comandos aparecem uma vez por segundo e desaparecem rapidamente htop.

Isso significa que alguém está tentando forçar bruteforce minha senha? O que eu faço sobre isso?

ssh vps Alexei Averchenko
fonte
Tente olhar para seus logs.
Michael Hampton
Sim, eles são brutais com base no dicionário :(
Alexei Averchenko 9/13

Respostas:

5

Verifique se /var/log/auth.logvocê deve ver um número alto de tentativas fracassadas se alguém estiver tentando atacá-lo. É comumente conhecido como ruído de fundo da Internet .

Você pode instalar um sistema de detecção de intrusão baseado em host, como o OSSEC, e habilitar a resposta ativa para bloquear temporariamente os endereços IP incorretos.

Lucas Kauffman
fonte
1
root 5277 1.0 0.0 72228 3488 ? Ss 08:39 0:00 sshd: root [priv] sshd 5278 0.0 0.0 51472 1432 ? S 08:39 0:00 sshd: root [net], Isso significa que alguns obtiveram acesso ao servidor?
J Bourne
9
  1. Verifique seu /var/log/auth.log

  2. Instale os bruteforcers fail2ban e autoban ssh. Você pode editar /etc/fail2ban/jail.conf:

    [ssh]

enabled = true
port    = 22
filter  = sshd
logpath  = /var/log/auth.log
bantime = -1
maxretry = 5
Valery Viktorovsky
fonte