¿Puede ser esto un ataque DoS?

4

Cuando estoy revisando mi registro, encontré como 15k eventos de "Servicio PAM (sshd) ignorando los reintentos máximos; 6 > 3"

Sé que esto podría ser normal, y que se considera un ataque de fuerza bruta, pero ¿puede clasificarse como intento de DoS?

Muestra del registro:

| 8864611 | eros     | 2014-08-11 18:18:38 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8865352 | eros     | 2014-08-11 18:46:59 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8865364 | eros     | 2014-08-11 18:47:13 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8865693 | eros     | 2014-08-11 19:00:39 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8865700 | eros     | 2014-08-11 19:01:55 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8865706 | eros     | 2014-08-11 19:02:11 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8865716 | eros     | 2014-08-11 19:02:28 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8866965 | eros     | 2014-08-11 19:59:47 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8867068 | eros     | 2014-08-11 20:00:18 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8896353 | eros     | 2014-08-12 17:31:33 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8896363 | eros     | 2014-08-12 17:31:49 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8901992 | eros     | 2014-08-12 21:40:48 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8902001 | eros     | 2014-08-12 21:41:03 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8902007 | eros     | 2014-08-12 21:41:18 |  PAM service(sshd) ignoring max retries; 6 > 3
    
pregunta WT86 10.11.2014 - 06:43
fuente

1 respuesta

8

Si se tratara de un ataque de denegación de servicio, vería esos mensajes de 15k que cubren menos de una hora, probablemente mucho menos. Esto es solo el ataque de fuerza bruta basado en botnet a las contraseñas SSH que constituye parte del "ruido de fondo" de Internet.

Asegúrese de que está utilizando contraseñas seguras (o mejor aún, autenticación basada en clave) y que ha deshabilitado el inicio de sesión de root en SSH, y no se preocupe por eso.

    
respondido por el Mark 10.11.2014 - 08:54
fuente

Lea otras preguntas en las etiquetas