Хтось жорстоко моє пароль? sshd: невідомо [net] та sshd: [прийнято] блимає у htop

9

Мій VPS має близько 3% навантаження на центральний процесор, який, ймовірно , викликано sshd: unknown [net]і sshd: [accepted]команди з'являються навколо один раз в секунду і швидко зникають в htop.

Це означає, що хтось намагається жорстоко застосувати мій пароль? Що я роблю з цього приводу?

ssh  vps 
Олексій Аверченко
джерело
Спробуйте переглянути свої журнали.
Майкл Хемптон
Так, вони грубіють на основі словника :(
Олексій Аверченко

Відповіді:

5

Перевірте, що /var/log/auth.logвам слід побачити велику кількість невдалих спроб, якщо хтось намагається напасти на вас. Загальновідомий як Інтернет фоновий шум .

Ви можете встановити на основі хост-системи виявлення вторгнень на зразок OSSEC і включити активну відповідь тимчасово блокувати порушення IP-адрес.

Лукас Кауффман
джерело
1
root 5277 1.0 0.0 72228 3488 ? Ss 08:39 0:00 sshd: root [priv] sshd 5278 0.0 0.0 51472 1432 ? S 08:39 0:00 sshd: root [net], Чи означає це деякий отриманий доступ до сервера?
Дж. Борн
9
  1. Перевірте свій /var/log/auth.log

  2. Встановіть fail2ban та autoban ssh bruteforcers. Ви можете редагувати /etc/fail2ban/jail.conf:

    [ssh]

enabled = true
port    = 22
filter  = sshd
logpath  = /var/log/auth.log
bantime = -1
maxretry = 5
Валерій Вікторовський
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.