Como @ChristopherPerrin disse, é o ruído de fundo da internet. Scripts e bots estão constantemente escaneando a internet, fazendo o equivalente a mexer nas maçanetas das portas, procurando por aquelas que estão destrancadas ou mal trancadas. No entanto, discordo que não há nada que você possa fazer sobre isso.
Use esses logs para bloqueá-los no nível do firewall. No linux eu uso fail2ban fazer isso. Pode haver soluções semelhantes para o Windows ou você pode escrever seu próprio script para fazê-lo.
Existem algumas razões para isso:
-
Mesmo se você tiver senhas strongs, dado um número infinito de palpites, elas entrarão. Se você não aplicar senhas strongs, eventualmente John Smith mudará sua senha para "senha". Bloqueá-los dá-lhes um número limitado de palpites.
-
Os firewalls podem eliminar o tráfego usando muito menos recursos do sistema. Não é grande coisa quando um bot está examinando você. Mas se 30 deles decidirem acessar seu servidor de uma só vez, isso poderá atrasar a autenticação ou o tráfego de VPN em geral para todos os usuários legítimos. Ao bloqueá-los no nível do firewall, os scripts geralmente recebem a dica e avançam para o próximo destino rapidamente.
-
Você pode bloqueá-los de outros recursos ao mesmo tempo. Falha ao acessar a VPN 20 vezes nos últimos 5 minutos? Bloqueie-os de toda a rede para que eles não consigam rastrear outros serviços em busca de vulnerabilidades. Falha ao acessar o site 20 vezes nos últimos 5 minutos? Bloqueado de tudo, incluindo a VPN. Faça com que o número de falhas permitidas e a duração da proibição sejam tão frouxas quanto necessárias para que ela não afete regularmente usuários reais.
-
Limita a quantidade de spam nos seus registros, para que você possa ver problemas reais que, de outra forma, você não notaria.
A maneira como o fail2ban funciona é observar os arquivos de log e, quando vê 5 tentativas de login malsucedidas do mesmo endereço IP em 5 minutos, ele executa um comando iptables para adicionar uma regra de firewall que os bloqueia por 30 minutos. Após o banimento, ele remove essa regra de firewall. Os números são configuráveis, assim como as ações.
Você também pode definir alguns endereços que NUNCA bloqueará, não importa quantas tentativas falhas existam, como sua LAN local ou alguns endereços públicos dos servidores que você controla, portanto não há risco de você ser bloqueado .