Czy ktoś brutalnie forsuje moje hasło? sshd: unknown [net] i sshd: [zaakceptowano] flashowanie w htopie

9

Mój VPS ma około 3% obciążenia procesora, co prawdopodobnie jest spowodowane przez, sshd: unknown [net]a sshd: [accepted]polecenia pojawiają się mniej więcej raz na sekundę i szybko znikają htop.

Czy to znaczy, że ktoś próbuje brutalnie wymusić moje hasło? Co mam z tym zrobić?

ssh vps Aleksiej Averchenko
źródło
Spróbuj spojrzeć na swoje dzienniki.
Michael Hampton,
Tak, brutalnie wykorzystują słownik :(
Alexei Averchenko

Odpowiedzi:

5

Sprawdź, /var/log/auth.logczy powinieneś zobaczyć dużą liczbę nieudanych prób, jeśli ktoś próbuje cię zaatakować. Jest powszechnie znany jako szum tła internetowego .

Możesz zainstalować oparty na hoście system wykrywania włamań, taki jak OSSEC, i włączyć aktywną odpowiedź, aby tymczasowo zablokować obrażające adresy IP.

Lucas Kauffman
źródło
1
root 5277 1.0 0.0 72228 3488 ? Ss 08:39 0:00 sshd: root [priv] sshd 5278 0.0 0.0 51472 1432 ? S 08:39 0:00 sshd: root [net], Czy to oznacza, że ​​niektórzy uzyskali dostęp do serwera?
J Bourne,
9
  1. Sprawdź swój /var/log/auth.log

  2. Zainstaluj narzędzia fail2ban i autoban ssh bruteforcers. Możesz edytować /etc/fail2ban/jail.conf:

    [ssh]

enabled = true
port    = 22
filter  = sshd
logpath  = /var/log/auth.log
bantime = -1
maxretry = 5
Valery Viktorovsky
źródło