通過 IP 進行的 SSH 攻擊被阻止

我執行有一個奇怪問題的 CentOS 5.7 64 位伺服器。

當我在查看我的日誌時，/var/log/secure我注意到一個奇怪的 IP 正在嘗試使用許多奇怪的使用者名連接到 ssh。

日誌輸出：http ://pastebin.com/raw.php?i=3uYjPrLL

我執行了已經阻止了這個 IP 的 fail2ban，我還通過 iptables 再次手動阻止了這個 IP。

執行iptables -n -L我得到了這個輸出：

Chain fail2ban-SSH (1 references)
target     prot opt source               destination
DROP       all  --  50.115.166.129       0.0.0.0/0
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

因此，塊就位。iptables 也在執行，我已經通過 iptables 阻止了許多 IP，並且這些塊都工作正常。

但不知何故，這個IP能夠到達我的機器。知道這怎麼可能嗎？

問題是您的fail2ban-SSH鏈正在應用於埠 22 的流量，這不是您的 sshd 正在偵聽的位置。所以fail2ban 從auth 日誌中提取失敗，並正確更新拒絕鏈。但是 ssh 流量永遠不會發送到該鏈，所以你的不法之徒，現在被阻止與埠 22 通信，仍然能夠在 2222 上與 sshd 通信。

假設您使用的是標準 CentOS /etc/sysconfig/iptables，您需要更改filter目前顯示類似內容的部分中的行

-A INPUT -p tcp --dport 22 -j fail2ban-SSH

說

-A INPUT -p tcp --dport 2222 -j fail2ban-SSH

至於您的手動放置，您已在說

689M  126G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

和

0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2222 state NEW

所以它永遠不會被呼叫來限制埠 2222 的新流量，或者任何此類連接中的後續數據包，因為那些已經被允許。規則的順序在 iptables 中至關重要，因為第一個決定性匹配獲勝。

引用自：https://serverfault.com/questions/360290