Я использую сервер Gentoo Linux и использую Fail2Ban, чтобы блокировать скриптовые дети и их неумолимые удары по моему SSH-порту. (Да, я знаю, что могу перейти на другой номер порта, но это работа, и кто хочет это сделать? :))
Так или иначе, это отлично работает, я ловлю множество людей, пытающихся взломать, и забаню их, но потом я заметил это интересное сообщение и МНОГО из них.
12 октября 18:00:57 ИМЯ СЕРВЕРА sshd [23265]: SSH: Сервер; Ltype: Версия; Удаленный: 216.177.200.29-46386; Протокол: 2.0; Клиент: libssh-0.1
Их более 1000 за 5 минут, все с одного удаленного IP-адреса. Это попытка взлома? И если да, то что это за? Я попытался найти это, но не смог получить четкого ответа о том, что здесь происходит.
Поскольку не было конкретной попытки входа в систему, мой fail2ban не помечал IPTables, чтобы заблокировать его. Я просто хотел убедиться, что не подвержен какой-либо известной уязвимости в демоне SSHD.
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m latest --set --name SSH -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -m недавний --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state ESTABLISHED, RELATED -j ACCEPT
Попробуйте это, таким образом вы разорвете более 4 соединений в 60-секундном кадре с того же IP-адреса, потерянного в течение 60 секунд, но при этом будете принимать трафик от заранее установленных подключений. Он не блокирует IP, но тормозит при попытках.
Либо кто-то пытался подобрать ваш пароль, либо, что менее вероятно, они пытаются взломать ваши ssh-ключи. В некоторых случаях SSHD не регистрирует сбои. Было некоторое обсуждение списков рассылки, что вы можете взломать ключи ssh с помощью удаленной грубой силы менее чем за 2 часа.
Джастин Мейсон написал об этом в своем блоге.