Интересный диагноз для fail2ban? Началось все с загрузки процессора им под 100%. Заглянул в fail2ban.log, а он каждую секунду блокирует по 2-3 ip с правилом ssh
Дело ясное, подумал я. Кто-то очень хочет доступ к моему серверу и для этого использует бот-сеть. Она перебирает пароли. Но когда счет пошел на тысячи заблокированных адресов — у меня закрались сомнения. Возможно кто-то и хочет доступ к моему серверу, но не ценой ботнета из нескольких тысяч машин.
Сменил порт ssh. Я уже давно хотел это сделать, но все как-то руки не доходили.
А блокировки ip не прекратились. Причем по правилу ssh. Нужели ботнет такой умный и сразу вычислил новый порт? Да быть не может. Копаем дальше
После наблюдения за fail2ban.log я заметил одну особенность: Сначала fail2ban отправляет в бан несколько тысяч ip, а потом удаляет их же из бана и ходит так по кругу. И еще заметил неприлично большой лог fail2ban (около 500Мб). Удалил лог — не помогло.
И где-то вычитал в интернете, что решают некоторые проблемы с fail2ban путем удаления его базы. Решение оказалось именно в этом. Видимо fail2ban заглючило в каком-то месте и он начал заниматься никому не нужной работой.
Удаление его базы делается так:
- Останавливаем сервис
- Удаляем базу
- Запускаем сервис
|
1 2 3 |
service fail2ban stop rm /var/lib/fail2ban/fail2ban.sqlite3 service fail2ban start |