Jeg har i de sidste år benyttet mig af Fail2ban til at blokkere ipaddresser som forsøger at forcere sig ind på mine gateways, og jeg kan tydelig se at Kina er blevet mere aktivt i løbet af det sidste års tid og er lidt træt af de samme ipaddresser forsætter med at prøve at logge ind med root via ssh, selvom at "permitrootlogin = no" er sat i sshd.

F.eks den sidste uges blokkeret ipaddresser taget ud fra fail2ban.log

zgrep -h "Ban " /var/log/fail2ban.log | awk '{print $5,$1,$7}' | sort 

[ssh] 2013-12-29 138.91.192.42
[ssh] 2013-12-29 58.215.133.52
[ssh] 2013-12-29 61.147.113.77
[ssh] 2013-12-29 61.147.113.83
[ssh] 2013-12-30 123.147.162.173
[ssh] 2013-12-30 193.107.16.206
[ssh] 2013-12-30 222.175.114.134
[ssh] 2013-12-30 32.65.224.46
[ssh] 2013-12-30 50.30.33.6
[ssh] 2013-12-30 58.215.240.94
[ssh] 2013-12-30 61.147.113.77
[ssh] 2013-12-30 61.147.116.8
[ssh] 2013-12-30 61.147.74.149
[ssh] 2013-12-30 61.160.251.140
[ssh] 2013-12-30 92.62.1.5
[ssh] 2013-12-31 201.44.88.212
[ssh] 2013-12-31 46.238.116.34
[ssh] 2014-01-01 122.192.35.146
[ssh] 2014-01-01 124.115.18.14
[ssh] 2014-01-01 124.160.194.27
[ssh] 2014-01-01 183.129.249.106
[ssh] 2014-01-01 58.215.133.52
[ssh] 2014-01-01 61.147.113.77
[ssh] 2014-01-01 61.160.251.140
[ssh] 2014-01-02 124.160.194.27
[ssh] 2014-01-02 213.92.117.212
[ssh] 2014-01-02 222.175.114.134
[ssh] 2014-01-02 61.144.43.235
[ssh] 2014-01-02 61.147.113.83
[ssh] 2014-01-02 61.147.74.149

Min list over banned ipaddresser som opdateres en gang i timen kan ses her: http://gw.mxbox.dk/fail2banIp.html

61.147.0.0/16 er efter hvad jeg kan se ipaddresser fra kina og jeg kan se at det er gengangere på nogle af mine andre gateways rundt omkring.

Her i aften har jeg tilføjet en nu fail2ban jail, som blokkere ipaddressen i væsentlig længere tid, end default, ligeledes holder den sin egen logfile, dvs. en ipaddresse som bliver banned for 2 uger siden slippe ikke uden om, at blive banned, i laaaaaaang tid blot fordi at auth.log er blevet overskrevet.

http://stuffphilwrites.com/2013/03/permanently-ban-repeat-offenders-fail2ban/