Apakah seseorang dengan kasar memaksakan kata sandi saya? sshd: tidak diketahui [bersih] dan sshd: [diterima] berkedip di htop

9

VPS saya memiliki sekitar 3% beban CPU, yang mungkin disebabkan oleh sshd: unknown [net]dan sshd: [accepted]perintah muncul sekitar sekali per detik dan dengan cepat menghilang htop.

Apakah ini berarti seseorang sedang mencoba memaksakan kata sandi saya? Apa yang harus saya lakukan?

Alexei Averchenko
sumber
Coba lihat log Anda.
Michael Hampton
Yap, mereka bruteforcing berdasarkan kamus :(
Alexei Averchenko

Jawaban:

5

Periksa Anda, /var/log/auth.logAnda akan melihat sejumlah besar upaya gagal jika seseorang mencoba menyerang Anda. Ini umumnya dikenal sebagai Internet Background noise .

Anda dapat menginstal sistem deteksi intrusi berbasis host seperti OSSEC dan mengaktifkan respons aktif untuk sementara memblokir alamat IP yang menyinggung.

Lucas Kauffman
sumber
1
root 5277 1.0 0.0 72228 3488 ? Ss 08:39 0:00 sshd: root [priv] sshd 5278 0.0 0.0 51472 1432 ? S 08:39 0:00 sshd: root [net], Apakah ini berarti beberapa memperoleh akses ke server?
J Bourne
9
  1. Periksa /var/log/auth.log Anda
  2. Instal fail2ban dan autoban ssh bruteforcers. Anda dapat mengedit /etc/fail2ban/jail.conf:

    [ssh]
    
    enabled = true
    port    = 22
    filter  = sshd
    logpath  = /var/log/auth.log
    bantime = -1
    maxretry = 5
    
Valery Viktorovsky
sumber