DreamerDreamのブログ

夢想家の夢です。〜揚げたてのモヤっとしたものをラフレシアと共に〜

しつこい不正アクセスを長期的にfail2banでBanする

前回、fail2banでBanしたログを調べておりますと、

dreamerdream.hateblo.jp

 

BanしてもしてもしつこくSSHログインを試行してくる面倒くさい輩がいましたので、ひとまず挙動を確認してみることに。

sudo cat /var/log/fail2ban.log | grep 213.155.231.234

あー、1〜2分ごとに試みていますね。

f:id:DreamerDream:20190520115928p:plain

弾かれてるので問題無いのですが、気分が悪いのとできればラズパイのSDカードを不正ログなんかで刺激したくない!

 

そもそもこのIPはどこの何だ?と調べてみました。

 

IPひろばは有料だそうなので、別のlookupサービス

<参考>IP確認サービス

Trace An IP - Our IP Address Locator & Tracer Can Track Any Location

 

で確認すると

f:id:DreamerDream:20190520120302p:plain

チェコだそうです。

 

 

他にも

f:id:DreamerDream:20190520120944p:plain

インドネシア

 

 

f:id:DreamerDream:20190520120956p:plain

ルーマニア

 

 

f:id:DreamerDream:20190520121006p:plain

中国

 

 

f:id:DreamerDream:20190520121016p:plain

コロンビア

 

などなど!

なんと、全世界が注目してくれているようです!わーい(違

 

こういうものはIP元が本拠地という訳ではなく、乗っ取られたネットワーク機器などの世界中の踏み台を経由してアクセスされますので犯人は不明です。

 

とりあえずfail2banでは再犯のIPアドレスは長期間Banするように設定できるようです。

<参考>

fail2banの設定変更(再犯者には厳しく)

 

CentOSの場合>

sudo nano /etc/fail2ban/jail.d/jail.local

のrecidiveにenabled=trueを追記して有効化

[recidive]
enabled  =  true

再起動します。

sudo service fail2ban restart

ログを確認して

sudo cat /var/log/fail2ban.log

recidiveが起動していれば成功。

成功すればログに↓が表示される。

INFO Jail 'recidive' started

動きました。

ステータスでもきちんと設定に反映されています。

sudo fail2ban-client status

Status

|- Number of jail: 2

`- Jail list: recidive, sshd

SSHポートを変更したら来なくなったのでIPがBanされているかの確認は現時点ではできませんが、これでしばらく様子をみます。

 

 

<Raspbianの場合>

同じように

sudo nano /etc/fail2ban/jail.d/jail.local

を編集 

[recidive]
enabled = true

 

として

再起動させてログを確認したら何やらエラーが出ていました。

Error in FilterPyinotify callback: 'module' object has no attribute '_strptime_time'

ん?

調べるとバグのようで、システムで用いられているモジュール名の問題のようですが、、情報が2014年?古くない?

bug in fail2ban (Page 1) — iRedMail Support — iRedMail

 

解決策は?よくわかりません!

わかりませんが、一応システムとしては動いてはいるようなのです。

確認

sudo fail2ban-client status

Status

|- Number of jail: 2

`- Jail list: ssh, recidive

このまま様子をみてもう一度ログを確認すると

fail2ban.actions[7649]: WARNING [ssh] Unban 221.131.68.210
fail2ban.actions[7649]: WARNING [ssh] Ban 221.131.68.210
fail2ban.actions[7649]: WARNING [recidive] Ban 221.131.68.210

と recidiveが反応してるので、システムはきちんと働いているようです。

 

こちらも、とりあえずこのまましばらく様子をみることにします。

kampa.me