Кто-то взламывает мой пароль? sshd: неизвестно [net] и sshd: [принято] мигает в htop

9

Мой VPS имеет около 3% нагрузки на центральный процессор, который, вероятно , вызвано sshd: unknown [net]и sshd: [accepted]команды появляются вокруг один раз в секунду и быстро исчезают в htop.

Значит ли это, что кто-то пытается взломать мой пароль? Что мне с этим делать?

ssh  vps 
Алексей Аверченко
источник
Попробуйте посмотреть свои журналы.
Майкл Хэмптон
Да, они брутфорсы на основе словаря :(
Алексей Аверченко

Ответы:

5

Проверьте, /var/log/auth.logвы должны увидеть большое количество неудачных попыток, если кто-то пытается напасть на вас. Это широко известно как фоновый шум в Интернете .

Вы можете установить основанную на хосте систему обнаружения вторжений, такую ​​как OSSEC, и активировать активный ответ, чтобы временно заблокировать нарушающие IP-адреса.

Лукас Кауфман
источник
1
root 5277 1.0 0.0 72228 3488 ? Ss 08:39 0:00 sshd: root [priv] sshd 5278 0.0 0.0 51472 1432 ? S 08:39 0:00 sshd: root [net]Означает ли это, что некоторые получили доступ к серверу?
Дж Борн
9
  1. Проверьте ваш /var/log/auth.log

  2. Установите fail2ban и autoban ssh bruteforcers. Вы можете отредактировать /etc/fail2ban/jail.conf:

    [ssh]

enabled = true
port    = 22
filter  = sshd
logpath  = /var/log/auth.log
bantime = -1
maxretry = 5
Валерий Викторовский
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.