Всем привет, брут-атака это упорядоченная проверка и подбор всех возможных вариаций паролей, пока правильный не будет обнаружен.
Если нахождение хоста прямо в сети и там же находится служба SSH, то такой хост всегда будет подвергнут атакам брутфорс, которые выполняются в автоматическом порядке, для этого существует скрипт - hydra.
Чтобы обнаружить начало брутфорс-атака на службы SSH вашего хоста, которые запускаются при помощи менеджеров систему – system, туда входят: CentOS7, Fedora21 и RHEL7, для них используется команда journalctl, имея данные параметры:
Древние системы, держащиеся на основе RedHat, используя upstart, а именно – CentOS6 и RHEL6, можно обнаруживать попытки атаки в просмотре непосредственно файла:
Отлично, мы узнали ип-адрес хакера, пытающийся провести брутфорс атаку, использовав сервис whois узнаем его местоположение.
Служба whois дает информацию и выполняет поиск объекта в специальной базе данных для данного ип-адреса.
Теперь посмотрим информацию об интернет-провайдере злоумышленника, для возможности связи с ними и выведении из строя данного пользователя, чтобы больше он не имел возможности атаковать сервера.
Отлично, узнав информацию о провайдере можно написать письмо на их электронную почту, где указать все необходимые данные пользователя и сделать запрос на дальнейшую блокировку данного клиента.