Erzwingt jemand mein Passwort brutal? sshd: unbekannt [net] und sshd: [akzeptiert] blinken in htop

9

Mein VPS hat rund 3% CPU - Last, die wahrscheinlich verursacht durch sshd: unknown [net]und sshd: [accepted]Befehle pro Sekunde um einmal erscheinen und schnell verschwinden in htop.

Bedeutet das, dass jemand versucht, mein Passwort zu erzwingen? Was mache ich dagegen?

Alexei Averchenko
quelle
Schauen Sie sich Ihre Protokolle an.
Michael Hampton
Ja, sie sind Bruteforcing basierend auf Wörterbuch :(
Alexei Averchenko

Antworten:

5

Überprüfen /var/log/auth.logSie, ob eine hohe Anzahl fehlgeschlagener Versuche angezeigt wird, wenn jemand versucht, Sie anzugreifen. Es ist allgemein als Internet-Hintergrundgeräusch bekannt .

Sie können ein hostbasiertes Intrusion Detection-System wie OSSEC installieren und die aktive Antwort aktivieren, um beleidigende IP-Adressen vorübergehend zu blockieren.

Lucas Kauffman
quelle
1
root 5277 1.0 0.0 72228 3488 ? Ss 08:39 0:00 sshd: root [priv] sshd 5278 0.0 0.0 51472 1432 ? S 08:39 0:00 sshd: root [net]Bedeutet dies, dass einige Zugriff auf den Server erhalten haben?
J Bourne
8
  1. Überprüfen Sie Ihr /var/log/auth.log
  2. Installieren Sie fail2ban und autoban ssh bruteforcers. Sie können /etc/fail2ban/jail.conf bearbeiten:

    [ssh]
    
    enabled = true
    port    = 22
    filter  = sshd
    logpath  = /var/log/auth.log
    bantime = -1
    maxretry = 5
    
Valery Viktorovsky
quelle