Как это понимать(logwatch)?

Как это понимать? Почему нет адресов? фрагмент лога ssh
Illegal users from:
undef: 3 times
\\320\\272\\321\\321\\320\\265 [preauth]: 1 time
\\320\\272root [preauth]: 1 time
\320\272\321\321\320\265: 2 times
\320\272root: 1 time

И ещё вопрос, не приятно, что меня частенько сканирует этот сканер, как я попал в поле его зрения, и как мне от него скрыться, не используя "постукивание" на другие порты, чтобы открыть порт (авторизация итак по ключам, юзеры чтобы попасть на rdp в lan из wan пробрасывают порт скриптом ssh; не хочется рассылать всем новый скрипт, путаница будет)
Didn't receive an ident from these IPs:
198.20.70.114 (census3.shodan.io): 1 Time(s)
71.6.167.142 (census9.shodan.io): 1 Time(s)
93.120.27.62 (m247.ro.shodan.io): 1 Time(s)
  • Вопрос задан
  • 517 просмотров
Пригласить эксперта
Ответы на вопрос 2
fail2ban
Ответ написан
Комментировать
@grumbler66rus
не приятно, что меня частенько сканирует этот сканер


Если в sshd_config указано "PasswordAuthentication no", можно не обращать внимание.
Если же хочется уменьшить частоту коннектов со стороны бота, это можно сделать посредством iptables приблизительно так (сие не является готовым рецептом!):
iptables -A INPUT -i eth1 -p tcp --syn --dport 22 -m recent --name sshin --set -m comment --comment "Set SSH incoming connection into table sshin"
iptables -A INPUT -i eth1 -p tcp --syn --dport 22 -m recent --name sshin --update --seconds 30 --hitcount 3 -j REJECT --reject-with tcp-reset -m comment --comment "Reject too quickly SSH new connection attempts"
iptables -A INPUT -i eth1 -p tcp --syn --dport 22 -m connlimit --connlimit-above 2 -j REJECT --reject-with tcp-reset -m comment --comment "SSH: 2 connections from one IP simultaneous
"
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы