Ktoś atakuje VPS - my się bronimy

Dostaliśmy zgłoszenia o atakach z Państwa serwera, proszę o pilną interwencję ....

Taką informację dostałem od administratorów mojego VPSa. Proszą żeby rozwiązać problem.
No dobra, szukamy co się dzieje. Szybki podgląd do logów i okazało się, że ktoś... coś... próbuje połączyć się po SSH do serwera.
Ilość połączeń była tak duża, że wykresy z Munina przyjęły bardzo ciekawe kształy.

cpu-day.png

fw_conntrack-day.png

processes-day.png

load-day.png

Wykorzystanie procesora w 100%, ilość utrzymywanych połączeń rzędu 4000, ilość procesów też duża no i obciążenie. Wartość ta nie powinna przekraczać 1 (jeśli przekracza oznacza to krótko mówiąc, że procesor nie wyrabia), a w tym przypadku osiąga 180 !

Ok, ale co możemy zrobić? Skonfigurować odpowiednio program fail2ban, aby powtrzymał ten proceder. Oczywiście miałem odpowiednio skonfigurowane ustawienia dla poczty, jednak o ssh zapomniałem. Co więc należy zrobić.

W pliku /etc/fail2ban/jail.local wysatrczy na końcu dopisać taką przykładową konfigurację:

[ssh]
 
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 5
bantime = 86400

gdzie maxretry to ilość prób (ustawiłem na 5) i długość czasu blokady w sekundach (ustawiłem na 1 dzień).

Od teraz mam przynajmniej spokój :)

Dodatkowo można zmienić standardowy port (22) na jakiś inny, ponieważ większość takich botów atakuje domyślny port.