Pregunta ¿Alguien está forzando bruscamente mi contraseña? sshd: desconocido [net] y sshd: [aceptado] parpadeando en htop


Mi VPS tiene aproximadamente un 3% de carga de CPU, lo que probablemente es causado por sshd: unknown [net] y sshd: [accepted] Los comandos aparecen una vez por segundo y desaparecen rápidamente en htop.

¿Significa que alguien está tratando de forzar mi contraseña? ¿Qué hago al respecto?


8
2018-03-09 11:07


origen


Intenta mirar tus registros. - Michael Hampton♦
Sí, son brutas basadas en diccionario :( - Alexei Averchenko


Respuestas:


Revisar su /var/log/auth.log Debería ver un gran número de intentos fallidos si alguien está intentando atacarle. Es comúnmente conocido como Ruido de fondo de internet.

Puede instalar un sistema de detección de intrusos basado en host como OSSEC y habilitar la respuesta activa para bloquear temporalmente las direcciones IP ofensivas.


5
2018-03-09 11:09



root 5277 1.0 0.0 72228 3488 ? Ss 08:39 0:00 sshd: root [priv]  sshd 5278 0.0 0.0 51472 1432 ? S 08:39 0:00 sshd: root [net]¿Significa esto que algunos obtuvieron acceso al servidor? - Saikrishna


  1. Compruebe su /var/log/auth.log
  2. Instalar fail2ban y autoban ssh bruteforcers. Puede editar /etc/fail2ban/jail.conf:

    [ssh]
    
    enabled = true
    port    = 22
    filter  = sshd
    logpath  = /var/log/auth.log
    bantime = -1
    maxretry = 5
    

8
2018-03-09 11:11