Ho installato e configurato fail2ban sul mio VPS un paio di giorni fa, da quando è installato, continua a inviarmi e-mail dicendo che un IP è stato bannato dopo tentativi di accesso falliti. Il firewall è attivo e fail2ban è in esecuzione, il tempo di divieto è di 1 ora, ma a quanto pare l'ip sta provando molte volte e in porte diverse da SSH.
Qui è parte del registro:
Sep 27 08:33:55 hero2 sshd[18529]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67 user=root
Sep 27 08:33:57 hero2 sshd[18529]: Failed password for root from 43.229.53.67 port 22961 ssh2
Sep 27 08:34:01 hero2 sshd[18529]: message repeated 2 times: [ Failed password for root from 43.229.53.67 port 22961 ssh2]
Sep 27 08:34:02 hero2 sshd[18529]: Received disconnect from 43.229.53.67: 11: [preauth]
Sep 27 08:34:02 hero2 sshd[18529]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67 user=root
Sep 27 08:34:02 hero2 sshd[18531]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67 user=root
Sep 27 08:34:04 hero2 sshd[18531]: Failed password for root from 43.229.53.67 port 43817 ssh2
Sep 27 08:34:08 hero2 sshd[18531]: message repeated 2 times: [ Failed password for root from 43.229.53.67 port 43817 ssh2]
Sep 27 08:34:08 hero2 sshd[18531]: Received disconnect from 43.229.53.67: 11: [preauth]
Sep 27 08:34:08 hero2 sshd[18531]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67 user=root
Sep 27 08:34:09 hero2 sshd[18533]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67 user=root
Sep 27 08:34:11 hero2 sshd[18533]: Failed password for root from 43.229.53.67 port 62808 ssh2
Sep 27 08:34:15 hero2 sshd[18533]: message repeated 2 times: [ Failed password for root from 43.229.53.67 port 62808 ssh2]
Sep 27 08:34:15 hero2 sshd[18533]: Received disconnect from 43.229.53.67: 11: [preauth]
Sep 27 08:34:15 hero2 sshd[18533]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67 user=root
Sep 27 08:34:16 hero2 sshd[18535]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67 user=root
Sep 27 08:34:18 hero2 sshd[18535]: Failed password for root from 43.229.53.67 port 26821 ssh2
Sep 27 08:34:22 hero2 sshd[18535]: message repeated 2 times: [ Failed password for root from 43.229.53.67 port 26821 ssh2]
Sep 27 08:34:22 hero2 sshd[18535]: Received disconnect from 43.229.53.67: 11: [preauth]
Sep 27 08:34:22 hero2 sshd[18535]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67 user=root
Sep 27 08:34:23 hero2 sshd[18537]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67 user=root
Sep 27 08:34:25 hero2 sshd[18537]: Failed password for root from 43.229.53.67 port 46038 ssh2
Sep 27 08:34:29 hero2 sshd[18537]: message repeated 2 times: [ Failed password for root from 43
Da quello che vedo, tutto proviene dallo stesso IP, sta tentando molte volte e su porte diverse (non è possibile che il mio firewall blocchi tutte le porte tranne ssh?). Inoltre, root è disabilitato.
Qualcuno sta cercando di forzare il mio VPS? Cosa posso fare per fermarlo?