มีใครบางคนใส่รหัสผ่านของฉันหรือไม่ sshd: ไม่รู้จัก [สุทธิ] และ sshd: [ยอมรับ] กระพริบใน htop

9

VPS ของฉันมีภาระของ CPU ประมาณ 3% ซึ่งอาจจะมีสาเหตุมาจากsshd: unknown [net]และsshd: [accepted]คำสั่งที่ปรากฏรอบ ๆ htopต่อวินาทีได้อย่างรวดเร็วและหายไปใน

มันหมายความว่ามีคนพยายาม bruteforce รหัสผ่านของฉันหรือไม่ ฉันจะทำอย่างไรกับมัน?

ssh vps

— Alexei Averchenko
แหล่งที่มา

ลองดูบันทึกของคุณ

— Michael Hampton

ใช่พวกเขากำลังดุร้ายตามพจนานุกรม :(

— Alexei Averchenko

5

ตรวจสอบ/var/log/auth.logว่าคุณควรเห็นความพยายามที่ล้มเหลวจำนวนมากหากมีคนพยายามโจมตีคุณ เป็นที่รู้จักกันทั่วไปว่าเป็นเสียงอินเทอร์เน็ตพื้นหลัง

คุณสามารถติดตั้งระบบตรวจจับการบุกรุกโดยใช้โฮสต์เช่น OSSEC และเปิดใช้งานการตอบสนองที่ใช้งานเพื่อบล็อกที่อยู่ IP ที่ละเมิด

— ลูคัสคอฟฟ์แมน
แหล่งที่มา

1

root 5277 1.0 0.0 72228 3488 ? Ss 08:39 0:00 sshd: root [priv] sshd 5278 0.0 0.0 51472 1432 ? S 08:39 0:00 sshd: root [net]สิ่งนี้หมายความว่าบางคนเข้าถึงเซิร์ฟเวอร์หรือไม่

— J Bourne

9

ตรวจสอบ /var/log/auth.log ของคุณ
ติดตั้ง fail2ban และ autoban ssh bruteforcers คุณสามารถแก้ไข /etc/fail2ban/jail.conf:
```
[ssh]

enabled = true
port    = 22
filter  = sshd
logpath  = /var/log/auth.log
bantime = -1
maxretry = 5
```

— Valery Viktorovsky
แหล่งที่มา