Est-ce que quelqu'un renforce mon mot de passe? sshd: unknown [net] et sshd: [accepté] clignotant dans htop

9

Mon VPS a environ 3% de charge CPU, ce qui est probablement dû sshd: unknown [net]et les sshd: [accepted]commandes apparaissant environ une fois par seconde et disparaître rapidement htop.

Cela signifie-t-il que quelqu'un essaie de forcer mon mot de passe? Que dois-je faire à ce sujet?

Alexei Averchenko
la source
Essayez de regarder vos journaux.
Michael Hampton
Ouais, ils sont bruteforcing basé sur le dictionnaire :(
Alexei Averchenko

Réponses:

5

Vérifiez que /var/log/auth.logvous devriez voir un nombre élevé de tentatives infructueuses si quelqu'un essaie de vous attaquer. Il est communément appelé bruit de fond Internet .

Vous pouvez installer un système de détection d'intrusion basé sur l'hôte comme OSSEC et activer la réponse active pour bloquer temporairement les adresses IP incriminées.

Lucas Kauffman
la source
1
root 5277 1.0 0.0 72228 3488 ? Ss 08:39 0:00 sshd: root [priv] sshd 5278 0.0 0.0 51472 1432 ? S 08:39 0:00 sshd: root [net], Cela signifie-t-il que certains ont accédé au serveur?
J Bourne
9
  1. Vérifiez votre /var/log/auth.log
  2. Installez fail2ban et autoban ssh bruteforcers. Vous pouvez éditer /etc/fail2ban/jail.conf:

    [ssh]
    
    enabled = true
    port    = 22
    filter  = sshd
    logpath  = /var/log/auth.log
    bantime = -1
    maxretry = 5
    
Valery Viktorovsky
la source