È un attacco di forza bruta
Sembra la scansione in background che sperimenterà qualsiasi server su Internet.
Dovrei essere preoccupato
Non proprio, la scansione in background è del tutto normale, purché le tue password siano sicure la scansione in background non dovrebbe rappresentare un rischio.
Quali sono le migliori misure di mitigazione
Puoi utilizzare quanto segue per rendere il server più sicuro:
- Consenti l'accesso solo utilizzando la chiave di autenticazione
- Disattiva l'accesso root ssh
- Utilizza un sistema come Fail2Ban per bloccare i tentativi di forza bruta
Dovrei cambiare IP
La modifica degli IP probabilmente non influirà molto sulla scansione automatica in background
Come già sottolineato nei commenti precedenti, la modifica degli IP NON impedirti di essere scansionato da scanner dannosi.
Riassumerò i passaggi necessari per davvero proteggi il tuo servizio SSH :
- come le persone hanno detto in precedenza:cambia la porta in un valore non standard (highport), ad es. un valore come 13322. Questo non è un reale vantaggio in termini di sicurezza, ma rende più difficile per qualsiasi bot trovare la porta SSH attiva.
- Utilizza SOLO chiavi sicure per l'autenticazione, se possibile, disattiva completamente l'autenticazione da tastiera con le password!!
- Usa fail2ban - servizio, che è disponibile per qualsiasi sistema simile a unix / derivato da linux. Questo servizio bannerà automaticamente un IP specifico dopo n tentativi di autenticazione falliti per un tempo definito. Il ban viene realizzato tramite le regole di iptables, quindi iptables è un requisito.