¿Puede ser esto un ataque DoS?

Question

¿Puede ser esto un ataque DoS?

#1 de Mark (8 votos)

4

Cuando estoy revisando mi registro, encontré como 15k eventos de "Servicio PAM (sshd) ignorando los reintentos máximos; 6 > 3"

Sé que esto podría ser normal, y que se considera un ataque de fuerza bruta, pero ¿puede clasificarse como intento de DoS?

Muestra del registro:

| 8864611 | eros     | 2014-08-11 18:18:38 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8865352 | eros     | 2014-08-11 18:46:59 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8865364 | eros     | 2014-08-11 18:47:13 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8865693 | eros     | 2014-08-11 19:00:39 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8865700 | eros     | 2014-08-11 19:01:55 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8865706 | eros     | 2014-08-11 19:02:11 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8865716 | eros     | 2014-08-11 19:02:28 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8866965 | eros     | 2014-08-11 19:59:47 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8867068 | eros     | 2014-08-11 20:00:18 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8896353 | eros     | 2014-08-12 17:31:33 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8896363 | eros     | 2014-08-12 17:31:49 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8901992 | eros     | 2014-08-12 21:40:48 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8902001 | eros     | 2014-08-12 21:41:03 |  PAM service(sshd) ignoring max retries; 6 > 3 |
| 8902007 | eros     | 2014-08-12 21:41:18 |  PAM service(sshd) ignoring max retries; 6 > 3

brute-force denial-of-service linux

pregunta WT86 10.11.2014 - 06:43

fuente

1 respuesta

Lea otras preguntas en las etiquetas brute-force denial-of-service linux

Historial de longitud de bits SSL ¿Es seguro exponer MongoDB ObjectID a los usuarios (por ejemplo, en URI)?

score 8 · Accepted Answer

Si se tratara de un ataque de denegación de servicio, vería esos mensajes de 15k que cubren menos de una hora, probablemente mucho menos. Esto es solo el ataque de fuerza bruta basado en botnet a las contraseñas SSH que constituye parte del "ruido de fondo" de Internet.

Asegúrese de que está utilizando contraseñas seguras (o mejor aún, autenticación basada en clave) y que ha deshabilitado el inicio de sesión de root en SSH, y no se preocupe por eso.