Witam, widzę że od pewnego czasu (zaczęło się chyba 27.03) na kilku vps-ach mam śmietnik w /var/log, szczególnie w plikach auth.log Sprawcami są boty, które próbują włamywać się na VPS-y.
Najprostszą metodą obrony jest zmiana portu SSH + zainstalowanie fail2ban
Lista adresów IP używanych przez boty:
- 180.177.241.14 (180-177-241-14.dynamic.kbronet.com.tw)
- 61.177.172.57
- 175.106.62.78
- 5.141.203.206
- 39.36.248.177
- 201.203.143.172
- 213.6.2.36
- zespoofowany adres pokazujący localhost?
- 203.162.0.78 (static.vnpt.vn)
- 14.202.110.224 (14-202-110-224.static.tpgi.com.au)
- 5.161.200.187
- zespoofowany adres niepokazujący nic
- 177.132.229.106 (177.132.229.106.dynamic.adsl.gvt.net.br)
- 92.126.46.82
- 182.52.246.92 (node-1cnw.pool-182-52.dynamic.totbb.net)
- 27.4.155.91
- 41.217.178.211
- (cały czas dochodzą nowe)
Adresy pochodzą z różnych egzotycznych miejsc, trudne do wykrycia, prawdopodobnie to serwery proxy i są zmieniane co 5-10 minut...
