Là ai đó bruteforcing mật khẩu của tôi? sshd: unknown [net] và sshd: [được chấp nhận] nhấp nháy trong htop

9

VPS của tôi có tải CPU khoảng 3%, điều này có thể do sshd: unknown [net]sshd: [accepted]các lệnh xuất hiện khoảng một lần mỗi giây và nhanh chóng biến mất htop.

Có nghĩa là ai đó đang cố gắng đánh cắp mật khẩu của tôi? Tôi phải làm gì về nó?

ssh  vps 
Alexei Averunn
nguồn
Hãy thử nhìn vào nhật ký của bạn.
Michael Hampton
Đúng, họ đang tàn bạo dựa trên từ điển :(
Alexei Averchenko

Câu trả lời:

5

Kiểm tra xem /var/log/auth.logbạn sẽ thấy số lần thử thất bại cao nếu ai đó đang cố tấn công bạn. Nó thường được gọi là nhiễu nền Internet .

Bạn có thể cài đặt hệ thống phát hiện xâm nhập dựa trên máy chủ như OSSEC và cho phép phản hồi tích cực để tạm thời chặn các địa chỉ IP vi phạm.

Lucas Kauffman
nguồn
1
root 5277 1.0 0.0 72228 3488 ? Ss 08:39 0:00 sshd: root [priv] sshd 5278 0.0 0.0 51472 1432 ? S 08:39 0:00 sshd: root [net], Điều này có nghĩa là một số quyền truy cập vào máy chủ?
J Bourne
9
  1. Kiểm tra /var/log/auth.log của bạn

  2. Cài đặt fail2ban và autoban ssh bruteforcin. Bạn có thể chỉnh sửa /etc/fail2ban/jail.conf:

    [ssh]

enabled = true
port    = 22
filter  = sshd
logpath  = /var/log/auth.log
bantime = -1
maxretry = 5
Valery Viktorovsky
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.