У меня есть веб-сайт, который посещают около 2000 человек в месяц, но я также получаю около 500 попыток взлома в день. В auth.log каждые несколько минут я получаю 8 таких:
Oct 19 16:34:14 main-srv vsftpd[7361]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=testuser rhost=188.163.79.28
Oct 19 16:34:10 main-srv vsftpd[7354]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=test123 rhost=188.163.79.28
Oct 19 16:34:06 main-srv vsftpd[7351]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=test rhost=188.163.79.28
Через несколько минут я получаю еще 8 пользователей с такими же именами, но с другого IP-адреса. Похоже, они используют прокси или сеть TOR для атак из разных мест. Или возможно они подделывают IP-адреса? В любом случае, как я могу заблокировать этот трафик (прокси / тор / поддельный IP)?