Я использовал команду, grep sshd.\*Failed /var/log/auth.log | lessчтобы проверить, сколько трафика brute force на моей машине Ubuntu 18.04 LTS. Я заметил несколько частей, которые я не понимаю.
Nov 21 12:55:53 *LOCALHOSTNAME* sshd[31151]: Failed password for invalid user john from *EXTERNAL IP* port 52162 ssh2
Nov 21 13:28:22 *LOCALHOSTNAME* sshd[31180]: Failed password for root from *EXTERNAL IP* port 47906 ssh2
Nov 21 13:37:03 *LOCALHOSTNAME* sshd[31186]: Failed password for root from *EXTERNAL IP* port 56522 ssh2
Nov 21 13:44:06 *LOCALHOSTNAME* sshd[31196]: Failed password for invalid user afar from *EXTERNAL IP* port 60040 ssh2
1) Что такое «sshd[порт?]»?
2) Что такое «ssh2»?
Контекст: Недавно эта машина была взломана и использовалась для ботнетинга. На этот раз я постараюсь быть максимально проактивным.
решение1
(грубая сила)
Это означает, что попытка выбора была предпринята с ВНЕШНЕГО IP и не увенчалась успехом.
+ Install
Fail2ban
DenyHosts
.....
![введите описание изображения стадо[1]](https://i.stack.imgur.com/DqjVU.png)
lastb
1) Что такое «sshd[порт?]»?
The authlog log file contains the following information:
• date and time: Feb 27 03:02:36;
• server name: bullit;
• remote access server: sshd;
• process pid: 18408;
• username: (phusermv);
• IP address: 77.222.44.2;
2- Что такое «ssh2»?
2 - SSH1 and SSH2 protocols / As already mentioned, sshd can work with the SSH1 and SSH2 protocols. However, the use of unsafe SSH1 is highly discouraged. You can make sshd work only with SSH2: Protocol