Est-ce que quelqu'un renforce mon mot de passe? sshd: unknown [net] et sshd: [accepté] clignotant dans htop

9

Mon VPS a environ 3% de charge CPU, ce qui est probablement dû sshd: unknown [net]et les sshd: [accepted]commandes apparaissant environ une fois par seconde et disparaître rapidement htop.

Cela signifie-t-il que quelqu'un essaie de forcer mon mot de passe? Que dois-je faire à ce sujet?

ssh  vps 
Alexei Averchenko
source
Essayez de regarder vos journaux.
Michael Hampton
Ouais, ils sont bruteforcing basé sur le dictionnaire :(
Alexei Averchenko

Réponses:

5

Vérifiez que /var/log/auth.logvous devriez voir un nombre élevé de tentatives infructueuses si quelqu'un essaie de vous attaquer. Il est communément appelé bruit de fond Internet .

Vous pouvez installer un système de détection d'intrusion basé sur l'hôte comme OSSEC et activer la réponse active pour bloquer temporairement les adresses IP incriminées.

Lucas Kauffman
source
1
root 5277 1.0 0.0 72228 3488 ? Ss 08:39 0:00 sshd: root [priv] sshd 5278 0.0 0.0 51472 1432 ? S 08:39 0:00 sshd: root [net], Cela signifie-t-il que certains ont accédé au serveur?
J Bourne
9
  1. Vérifiez votre /var/log/auth.log

  2. Installez fail2ban et autoban ssh bruteforcers. Vous pouvez éditer /etc/fail2ban/jail.conf:

    [ssh]

enabled = true
port    = 22
filter  = sshd
logpath  = /var/log/auth.log
bantime = -1
maxretry = 5
Valery Viktorovsky
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.