我有一个网站,每月大约有 2000 名访问者,但每天也会收到大约 500 次入侵尝试。每隔auth.log几分钟我就会收到 8 次这样的尝试:
Oct 19 16:34:14 main-srv vsftpd[7361]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=testuser rhost=188.163.79.28
Oct 19 16:34:10 main-srv vsftpd[7354]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=test123 rhost=188.163.79.28
Oct 19 16:34:06 main-srv vsftpd[7351]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=test rhost=188.163.79.28
几分钟后,我又收到 8 个用户名相同的邮件,但来自不同的 IP 地址。看来他们正在使用代理或 TOR 网络从不同的地方发起攻击。或者他们可能在伪造 IP 地址?无论哪种情况,我该如何阻止此流量(代理/tor/伪造 IP)?