这是几天前,我观察到一些IP地址没有被fail2ban禁止,并继续对ssh的不同端口进行暴力攻击。这是我的日志的摘录:
undef: 22 times
a [preauth]: 1 time
adm [preauth]: 1 time
admin [preauth]: 1 time
fakepass [preauth]: 1 time
我在“auth.log”文件中对攻击登录进行了 grep,因为 IP 地址没有出现在日志监视中,我发现了这一点:
May 2 11:06:07 host sshd[16474]: Invalid user fakepass from 112.33.4.100
May 2 11:06:07 host sshd[16474]: input_userauth_request: invalid user fakepass [preauth]
May 2 11:06:09 host sshd[16474]: Failed password for invalid user fakepass from 112.33.4.100 port 5278 ssh2
我注意到 IP 地址 112.33.4.100 没有被禁止,并且攻击不在 prot TCP 22 上,因此它继续尝试使用其他 TCP 端口和登录
我的配置小姐在哪里?谢谢