几天前,我注意到我的服务器变得非常慢。当我调查时,我发现它变得很fail2ban疯狂,fail2ban-server进程占用了 50% 的 CPU,fail2ban日志文件中充斥着独家sshd禁令消息(每秒约 3 行/IP)
我已经关闭了服务器几天了,当我今天早上再次启动它时,fail2ban日志文件继续泛滥。
据我所知,fail2ban 会扫描相应的日志文件以查找可疑行为。并且(失败的)ssh 尝试会记录在 auth.log 中。
我无法将fail2ban日志中看到的内容与 中的条目进行匹配auth.log。auth.log 中几乎没有记录任何内容,主要是每隔几分钟一次的 CRON 消息。
我自己并不是 Linux 专家,所以我可能忽略了一些东西,但我无法解释这里发生了什么。为什么日志中fail2ban充斥着这些信息,而其他一切似乎都很平静?
$ tail fail2ban.log
2020-03-14 12:41:29,262 fail2ban.actions [1557]: NOTICE [sshd] Ban 37.114.186.199
2020-03-14 12:41:29,692 fail2ban.actions [1557]: NOTICE [sshd] Ban 37.114.187.117
2020-03-14 12:41:30,122 fail2ban.actions [1557]: NOTICE [sshd] Ban 37.114.191.123
2020-03-14 12:41:30,555 fail2ban.actions [1557]: NOTICE [sshd] Ban 37.117.180.69
2020-03-14 12:41:30,990 fail2ban.actions [1557]: NOTICE [sshd] Ban 37.120.12.212
2020-03-14 12:41:31,426 fail2ban.actions [1557]: NOTICE [sshd] Ban 37.120.33.30
2020-03-14 12:41:31,864 fail2ban.actions [1557]: NOTICE [sshd] Ban 37.128.219.17
2020-03-14 12:41:32,297 fail2ban.actions [1557]: NOTICE [sshd] Ban 37.130.120.244
2020-03-14 12:41:32,729 fail2ban.actions [1557]: NOTICE [sshd] Ban 37.130.156.39
2020-03-14 12:41:33,164 fail2ban.actions [1557]: NOTICE [sshd] Ban 37.135.117.97
fail2ban-server v0.9.3,
ubuntu 16.04.6