Ist das ein Brute-Force-Angriff
Dies sieht aus wie das Scannen im Hintergrund, das jeder Server im Internet erfährt.
Soll ich mir Sorgen machen
Nicht wirklich, das Scannen im Hintergrund ist völlig normal, solange Ihre Passwörter sicher sind, sollte das Scannen im Hintergrund kein Risiko darstellen.
Was sind die besten Gegenmaßnahmen
Sie können Folgendes verwenden, um den Server sicherer zu machen:
- Anmeldung nur mit Schlüsselauthentifizierung zulassen
- Stamm-SSH-Zugriff deaktivieren
- Verwenden Sie ein System wie Fail2Ban, um Brute-Force-Versuche zu blockieren
Sollte ich IPs ändern
Das Ändern von IPs hat wahrscheinlich keine großen Auswirkungen auf das automatische Scannen im Hintergrund
Wie bereits in früheren Kommentaren erwähnt, wird das Ändern von IPs NICHT verhindern, dass Sie von bösartigen Scannern gescannt werden.
Ich werde die notwendigen Schritte zu wirklich zusammenfassen sichern Sie Ihren SSH-Dienst :
- wie bereits erwähnt:Ändern Sie den Port auf einen nicht standardmäßigen (Highport) Wert, z. ein Wert wie 13322. Dies ist kein echter Sicherheitsvorteil, macht es aber für jeden Bot schwieriger, den aktiven SSH-Port zu finden.
- NUR sichere Schlüssel zur Authentifizierung verwenden, wenn möglich, Keyboard-Auth mit Passwörtern komplett deaktivieren!!
- Verwenden Sie fail2ban - Dienst, der für alle Unix-ähnlichen Systeme / Linux-Derivate verfügbar ist. Dieser Dienst sperrt automatisch eine bestimmte IP nach n fehlgeschlagenen Authentifizierungsversuchen für eine definierte Zeit. Das Verbot wird über iptables-Regeln realisiert, daher ist iptables eine Voraussetzung.