/ learning

Mengecek Jika Server SSH brute force attack

Pagi ini katanya ada yang down salah satu server kita dan setelah di check oleh rekan itu karena ada yang brute force login melalui SSH. Jadi saya tanya dimana untuk mengecek bahwa jika kita terserang oleh brute force itu. Jadi untuk mengecek jika ada serangan, login ke server

sudo grep 'ssh' /var/log/messages

jika ada banyak Invalid user www from IP yang sama nah itu adalah tandanya kita sedang diserang.

untuk memantau

sudo tail -f /var/log/messages | grep "ssh"