¿Alguien está forzando mi contraseña? sshd: desconocido [net] y sshd: [aceptado] parpadeando en htop

9

Mi VPS tiene carga de la CPU en torno al 3%, lo que probablemente es causada por sshd: unknown [net]y sshd: [accepted]comandos a aparecer alrededor de una vez por segundo y desapareciendo rápidamente htop.

¿Significa que alguien está intentando forzar mi contraseña? ¿Qué hago al respecto?

ssh vps Alexei Averchenko
fuente
Intenta mirar tus registros.
Michael Hampton
Sí, están aplicando fuerza bruta según el diccionario :(
Alexei Averchenko

Respuestas:

5

Comprueba /var/log/auth.logque deberías ver una gran cantidad de intentos fallidos si alguien intenta atacarte. Es comúnmente conocido como ruido de fondo de Internet .

Puede instalar un sistema de detección de intrusiones basado en host como OSSEC y habilitar la respuesta activa para bloquear temporalmente las direcciones IP infractoras.

Lucas Kauffman
fuente
1
root 5277 1.0 0.0 72228 3488 ? Ss 08:39 0:00 sshd: root [priv] sshd 5278 0.0 0.0 51472 1432 ? S 08:39 0:00 sshd: root [net], ¿Esto significa que algunos obtuvieron acceso al servidor?
J Bourne
9
  1. Verifique su /var/log/auth.log

  2. Instalar fail2ban y autoban ssh bruteforcers. Puede editar /etc/fail2ban/jail.conf:

    [ssh]

enabled = true
port    = 22
filter  = sshd
logpath  = /var/log/auth.log
bantime = -1
maxretry = 5
Valery Viktorovsky
fuente