Bonjour,
Mon serveur YunoHost
Matériel: Dédié distant
Version de YunoHost: 4.3.6.3
J’ai accès à mon serveur : En SSH | Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : oui
Si oui, expliquer: AllowUsers pour n’autoriser qu’un utilisateur à se co en SSH / authent uniquement par clef / Port modifié.
Depuis quelques temps, j’ai des IP qui tentent de se co en SSH plusieurs milliers voir dizaines de milliers de fois par jour.
Ci-dessous, un extrait de logwatch pour la journée d’avant hier (hier c’était plus calme, moins de 10K tentatives D:) :
--------------------- SSHD Begin ------------------------
Negotiation failed:
Protocol major versions differ: 2 TimesIllegal users from:
96.43.86.125: 36 Times
106.10.122.53: 628 Times
114.113.233.194: 827 Times
162.218.126.136: 533 Times
164.92.158.93: 21533 Times
172.104.159.48 (academyforinternetresearch.org): 1 Time
178.124.171.187 (mm-187-171-124-178.static.mgts.by): 4678 Times
204.12.196.66: 22106 Times
Ah oui. Certains tentent une fois toutes les 3 ou 4 secondes H24. Certaines reviennent même à la charge plusieurs jours de suite.
Petit coup de GeoIP : Pas une IP française, notre top3 est constitué d’adresse US/NL/BY. Aucun des pays depuis lesquels je suis susceptible de me connecter
Vérifions notre jail SSH :
~# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 11
| |- Total failed: 128301
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 15
|- Total banned: 15
`- Banned IP list: 109.74.204.123 114.113.233.194 141.101.201.68 159.223.233.224 20.93.238.45 82.165.155.100 88.80.186.144 106.10.122.53 217.18.239.61 162.218.126.136 138.68.12.109 96.43.86.125 164.92.158.93 204.12.196.66 178.124.171.187
Mouais, nos adresses y sont bien, et le service est actif :
# service fail2ban status
● fail2ban.service - Fail2Ban Service
Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2022-07-05 00:55:30 CEST; 1 weeks 2 days ago
Docs: man:fail2ban(1)
Main PID: 528 (fail2ban-server)
Tasks: 27 (limit: 4605)
Memory: 39.9M
CGroup: /system.slice/fail2ban.service
└─528 /usr/bin/python3 /usr/bin/fail2ban-server -xf start
Ce qui m’amène à cette question : pourquoi logwatch me renvoie-t-il autant de tentatives de connexion ? Les tentatives ne devraient-elles pas être immédiatement droppées par fail2ban ?
Si je check un peu les logs et que je regarde disons la dernière adresse en 204…, je vois que ça essaie un peu tout et n’importe quoi comme user (en plus des traditionnels root, postfix, etc…). Extrait :
~# grep '204.12.196.66' /var/log/auth* | grep Invalid | tail
/var/log/auth.log:Jul 12 23:48:40 monserveur sshd[4831]: Invalid user daeryuksocho from 204.12.196.66 port 33726
/var/log/auth.log:Jul 12 23:48:43 monserveur sshd[4838]: Invalid user brian from 204.12.196.66 port 34982
/var/log/auth.log:Jul 12 23:48:48 monserveur sshd[4851]: Invalid user yyhuang from 204.12.196.66 port 37466
/var/log/auth.log:Jul 12 23:48:51 monserveur sshd[4860]: Invalid user zdcui from 204.12.196.66 port 38712
/var/log/auth.log:Jul 12 23:48:54 monserveur sshd[4866]: Invalid user dyj from 204.12.196.66 port 39960
/var/log/auth.log:Jul 12 23:48:59 monserveur sshd[4876]: Invalid user ubstep from 204.12.196.66 port 42458
/var/log/auth.log:Jul 12 23:49:04 monserveur sshd[5017]: Invalid user student3 from 204.12.196.66 port 44950
/var/log/auth.log:Jul 12 23:49:07 monserveur sshd[5023]: Invalid user jzhuang from 204.12.196.66 port 46194
/var/log/auth.log:Jul 12 23:49:10 monserveur sshd[5031]: Invalid user lujiangjiao from 204.12.196.66 port 47440
/var/log/auth.log:Jul 12 23:49:15 monserveur sshd[5043]: Invalid user neil from 204.12.196.66 port 49932
F2B semble bien reconnaitre l’IP comme bannie :
~# grep '204.12.196.66' /var/log/fail2ban.log
2022-07-12 23:48:52,046 fail2ban.actions [528]: WARNING [sshd] 204.12.196.66 already banned
2022-07-12 23:48:54,159 fail2ban.filter [528]: INFO [sshd] Found 204.12.196.66 - 2022-07-12 23:48:54
2022-07-12 23:48:56,948 fail2ban.filter [528]: INFO [sshd] Found 204.12.196.66 - 2022-07-12 23:48:56
2022-07-12 23:48:59,356 fail2ban.filter [528]: INFO [sshd] Found 204.12.196.66 - 2022-07-12 23:48:59
2022-07-12 23:49:02,327 fail2ban.filter [528]: INFO [sshd] Found 204.12.196.66 - 2022-07-12 23:49:02
2022-07-12 23:49:04,911 fail2ban.filter [528]: INFO [sshd] Found 204.12.196.66 - 2022-07-12 23:49:04
2022-07-12 23:49:07,597 fail2ban.filter [528]: INFO [sshd] Found 204.12.196.66 - 2022-07-12 23:49:07
2022-07-12 23:49:10,224 fail2ban.filter [528]: INFO [sshd] Found 204.12.196.66 - 2022-07-12 23:49:10
2022-07-12 23:49:12,879 fail2ban.filter [528]: INFO [sshd] Found 204.12.196.66 - 2022-07-12 23:49:12
2022-07-12 23:49:15,944 fail2ban.filter [528]: INFO [sshd] Found 204.12.196.66 - 2022-07-12 23:49:15