Sempre que faço SSH em meu droplet DigitalOcean como root (quando possível, uso um usuário), vejo regularmente que há centenas, às vezes milhares de tentativas de login malsucedidas nos últimos dias.
- Isso é normal?
- Qual é a provável causa?
- Há algo com que se preocupar?
- Há alguma medida que devo tomar para reduzir essas tentativas?
Responder1
Isso é normal?
Sim. Isso está acontecendo o tempo todo.
Qual é a provável causa?
Bots tentando obter acesso ao seu sistema. Se forem bem-sucedidos, eles poderão abusar do seu sistema para fazer a mesma coisa com outras máquinas.
Há algo com que se preocupar?
Resumindo: se você desativou o login baseado em senha, não.
Há alguma medida que devo tomar para reduzir essas tentativas?
Você pode usar algo como fail2ban.
Responder2
Sim, eu ficaria mais preocupado se você não o fizesse.
É uma boa ideia...
- mude sua porta ssh (comum)
- descarte pacotes de endereços IP desconhecidos se você tiver um intervalo de origem confiável.
- adicionar autenticação multifator
- batida na porta
- firewall/serviço agendado (só execute ssh quando precisar, acesso de emergência via console)
- instale o fail2ban para reduzir reincidentes
Responder3
Não, não é normal, mas tornou-se comum graças a padrões inadequados, usuários desinformados, hackers e testadores de segurança.
Se você tiver senhas ou chaves de uso boas e seguras e bastante espaço para seus arquivos de log, não há nada com que se preocupar.
Uma ótima solução para limpar isso é configurar a automação para que o proprietário da rede de origem (a fonte) receba uma notificação de que isso está sendo feito em sua rede, para que eles possam agir rapidamente para bloqueá-la e limpar isso. A maior parte desse tráfego é um sinal de malware em suas máquinas de bloqueio de rede ou usuários que fazem isso protegerão outros usuários que podem ser vítimas de possíveis explorações ou usuários nefastos.
Todos os usuários nefastos que executam botnets e tentam assumir o controle de seus dispositivos irão, é claro, votar contra isso.