me han entrado por ssh desde esta ip 85.136.179.141

Hola lonas,

¿De quien has recibido el mensaje de que te han entrado por el SSH?

¿Es un email del cPanel del servidor con algo así:
5 failed login attempts to account root@dominio.com (root) -- Large number of attempts from this IP: xx.xx.xx.xx?

En ese caso, es sólo que lo han intentado y el sistema de protección de cPanel se ha activado y le ha bloqueado el acceso temporalmente.

Saludos

En el fichero /etc/ssh/sshd_config verás una opción comentada:

#Port 22

La descomentas y cambias el puerto de 22 a cualquier otro, mejor que sea mayor a 1024 y que no corresponda a ningún servicio standard. Los scan de puertos suelen probar primero esos. Si lo configuras, por ejemplo a

Port 4597

luego tendrás que usar la opción -p de ssh para entrar:

ssh -p 4597 usuario@tu.maquina.net

Y no olvides reiniciar sshd, normalmente con

/etc/rc.d/sshd restart

(la ubicación del script cambia según las distribuciones). Saludos

de momento he cambiado el pasword aunque me es muy extraño que entrasen al server por ssh a la primera y no me llegara ningun intento de instruccion.

como se cambiaba el puerto amigo?

Si tiene algun log miralo y te confirmara que ha pasado, si ha hecho login ok, si lo ha rechazado, lo mas probable es que sea un lamer, si te agobia mucho cambia el puerto o filtra ip etc

si de ono se que es y a entrado por que tengo instalado un sript que me avisa cuando entran al ssh y me reporta la ip y me han llegado bastanmtes email de instruccion.

Lo que no se ahora es que hacer dentro de el whm de cpanel o como ver si me han modificado algo.

trabajo con centos 5 y cpanel

Una cosa es acceder al terminal y otra hacer un escan, contacto o intento de acceso que es lo mas normal que te puede pasar con un ssh abierto escuchando. Esa 85 parece cable-modem de Auna bajo Ono.

Pues que he recibido hace unos minutos varios email de que han accedido via ssh a mi servidor desde esta ip 85.136.179.141 ¿que hago ahora? ¿como actuo? a donde me dirijo?