Eu tenho usado este site para ajuda relacionada ao Ubuntu já há algum tempo, já que eu possuo dois servidores dedicados que rodam o Ubuntu 12.04, no qual eu rodei servidores.
Recentemente, descobri as maravilhas dos arquivos auth.log e fiquei chocado ao ver essas tentativas de conexão aleatórias, aparentemente enviadas centenas de vezes, uma vez a cada 2-4 minutos.
A maioria das tentativas fracassadas foi de endereços IP (geralmente chineses ou russos de origem) tentando fazer login no root. Alguns, no entanto, parecem tentar fazer login em usuários inexistentes no meu dedi, como "ankit", "deskalt" e "guest".
Veja um exemplo de um de 20 de abril de alguém tentando fazer login para root e falhando. Isso aparece centenas e centenas de vezes no arquivo de log, todas as entradas provenientes do mesmo endereço IP.
Apr 20 06:52:31 ns512192 sshd[29679]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.255.191.164 user=root
Apr 20 06:52:32 ns512192 sshd[29679]: Failed password for root from 43.255.191.164 port 55406 ssh2
Apr 20 06:52:37 sshd[29679]: last message repeated 2 times
Apr 20 06:52:37 ns512192 sshd[29679]: Received disconnect from 43.255.191.164: 11: [preauth]
Apr 20 06:52:37 ns512192 sshd[29679]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.255.191.164 user=root
E aqui está alguém tentando acessar o "deskalt"
Apr 20 06:52:02 ns512192 sshd[29648]: Invalid user deskalt from 80.242.123.130
Apr 20 06:52:02 ns512192 sshd[29648]: input_userauth_request: invalid user deskalt [preauth]
Apr 20 06:52:02 ns512192 sshd[29648]: pam_unix(sshd:auth): check pass; user unknown
Apr 20 06:52:02 ns512192 sshd[29648]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=130-123-242-80.pppoe.dyn.broadband.blic.net
Apr 20 06:52:04 ns512192 sshd[29648]: Failed password for invalid user deskalt from 80.242.123.130 port 36298 ssh2
Apr 20 06:52:04 ns512192 sshd[29648]: Received disconnect from 80.242.123.130: 11: Bye Bye [preauth]
Como devo proceder para configurar uma lista negra de endereços IP, para que possa adicionar manualmente endereços IP a fim de interromper todas essas tentativas de conexão aleatória? Eu sei que algumas pessoas sugeririam bloquear todo o tráfego em uma porta e, em seguida, colocar IPs específicos na lista de permissões, mas como eu executo servidores de jogos em dedis e em fóruns de sites e PHPBB, não é uma opção.
Você pode instalar fail2ban para iniciar automaticamente o bloqueio desses IPs quando eles fizerem algumas conexões malsucedidas. Pessoalmente, no entanto, eu mudo a porta ssh para algo aleatório como o 32422 para que eles não consigam encontrar o seu servidor ssh.
Portanto, todo o tráfego para a porta 22 é descartado e o bot passará para um destino diferente.