Не могу понять лог fail2ban

0

3

В пустой системе запущен fail2ban и sshd. Через некоторое время fail2ban срабатывает. При этом в логе secure появляются записи о попытке авторизации:

[root@testhost /]# grep 'Jun 27 04:16' /var/log/secure
Jun 27 04:16:20 testhost sshd[1100]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.87.109.253  user=root
Jun 27 04:16:22 testhost sshd[1100]: Failed password for root from 218.87.109.253 port 42015 ssh2
Jun 27 04:16:27 testhost sshd[1100]: Failed password for root from 218.87.109.253 port 42015 ssh2
Jun 27 04:16:33 testhost sshd[1100]: Failed password for root from 218.87.109.253 port 42015 ssh2
Jun 27 04:16:33 testhost sshd[1101]: Received disconnect from 218.87.109.253: 11: 
Jun 27 04:16:33 testhost sshd[1100]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.87.109.253  user=root
[root@testhost /]#

Одновременно с этим в логе fail2ban появляется довольно много записей на первый взгляд не относящихся к этому событию:

(слегка сокращённый фрагмент)

[root@testhost ~]# grep 'Jun 27 04:16' /var/log/messages | uniq -c
         14 Jun 27 04:16:13 testhost fail2ban.filter[1086]: WARNING Determined IP using DNS Lookup: u18590357.onlinehome-server.com = ['74.208.72.132']
          1 Jun 27 04:16:18 testhost fail2ban.filter[1086]: WARNING Determined IP using DNS Lookup: epsilon.ip-colo.net = ['195.3.144.85']
         14 Jun 27 04:16:23 testhost fail2ban.filter[1086]: WARNING Determined IP using DNS Lookup: u18590357.onlinehome-server.com = ['74.208.72.132']
         14 Jun 27 04:16:31 testhost fail2ban.filter[1086]: WARNING Determined IP using DNS Lookup: u18590357.onlinehome-server.com = ['74.208.72.132']
         14 Jun 27 04:16:44 testhost fail2ban.filter[1086]: WARNING Determined IP using DNS Lookup: u18590357.onlinehome-server.com = ['74.208.72.132']
         44 Jun 27 04:16:49 testhost fail2ban.filter[1086]: INFO [sshd] Found 218.87.109.253
          1 Jun 27 04:16:49 testhost fail2ban.actions[1086]: NOTICE [sshd] Ban 218.87.109.253
[root@testhost ~]#

То есть, fail2ban резолвит некие IP адреса. Мне не совсем понятно зачем он это делает и откуда он их берёт. Если это по делу то почему бы их не забанить заодно, если ни о чём то зачем он этим занимается? Вызывает сомнение то, что события идут почти одновременно.

Ссылка

←	Никак не могу переместить tmp MySQL в ramdisk

Фильтр лога postfix по «Host not found» и отчет

→

Для отключения резолвинга можно в конфиг jail'ов добавить usedns = no, но откуда эти адреса угадать не могу.

alozovskoy ★★★★★
(27.06.16 12:44:37 MSK)

Ответ на: комментарий от alozovskoy 27.06.16 12:44:37 MSK

Забыл добавить что все настройки fail2ban по умолчанию, единственное что включено - ssh:

[root@testhost /]# cat /etc/fail2ban/jail.local 

[sshd]
enabled  = true
[root@testhost /]# cat /etc/redhat-release 
CentOS release 6.8 (Final)
[root@testhost /]# rpm -q fail2ban
fail2ban-0.9.3-1.el6.1.noarch
[root@testhost /]#

sin_a ★★★★★
(27.06.16 12:48:33 MSK) автор топика

Ответ на: комментарий от sin_a 27.06.16 12:48:33 MSK

Так по дефолту usedns = warn (по крайней мере в Debian, но думаю и в rpm-based так).

alozovskoy ★★★★★
(27.06.16 12:56:35 MSK)

Ответ на: комментарий от alozovskoy 27.06.16 12:56:35 MSK

Больше интересует не факт резолвинга. В конце концов если ему от этого легче жить то пусть этим занимается. Интересуют адреса, вернее их источник.

Пока есть впечатление что это происходит после старта. Подожду, будут ли появляться такие сообщение далее.

sin_a ★★★★★
(27.06.16 13:01:34 MSK) автор топика

Ссылка

Молодцы китайцы, брутят все подряд. Отключите логин под root и сделайте нестандартный порт на sshd.

xkool ★
(27.06.16 13:01:57 MSK)

Ссылка

Ответ на: комментарий от alozovskoy 27.06.16 12:44:37 MSK

В общем, такое впечатление что этими адресами он проверяет работу резолвинга. Хотя в его файлах вроде они не встречаются. Похоже появляется только при старте, при появлении jail.

sin_a ★★★★★
(27.06.16 15:39:25 MSK) автор топика

Ответ на: комментарий от sin_a 27.06.16 15:39:25 MSK

Грепни по ним во всем /var/log, моет в каком-то логе оказались да подтягиваются при перезапуске. Вообще регистрант чуть выше прав скорее всего, просто китайцы сканируют порты.

alozovskoy ★★★★★
(27.06.16 15:58:31 MSK)

Ответ на: комментарий от alozovskoy 27.06.16 15:58:31 MSK

Да, действительно в начале /var/log/secure присутствуют. А он при старте видимо перечитывает весь лог. Остаётся непонятно, почему он их резолвит а последующие нет. Но это уже в общем неважно.

sin_a ★★★★★
(27.06.16 16:05:02 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Никак не могу переместить tmp MySQL в ramdisk

Admin

Фильтр лога postfix по «Host not found» и отчет

→

Похожие темы