Há vários dias, observei que alguns endereços IP não foram banidos pelo fail2ban e continuaram a atacar com força bruta em diferentes portas do ssh. Este é um extrato do meu logwatch:
undef: 22 times
a [preauth]: 1 time
adm [preauth]: 1 time
admin [preauth]: 1 time
fakepass [preauth]: 1 time
Eu fiz um grep no login do ataque no arquivo "auth.log", já que o endereço IP não aparece no logwatch, e achei isso:
May 2 11:06:07 host sshd[16474]: Invalid user fakepass from 112.33.4.100
May 2 11:06:07 host sshd[16474]: input_userauth_request: invalid user fakepass [preauth]
May 2 11:06:09 host sshd[16474]: Failed password for invalid user fakepass from 112.33.4.100 port 5278 ssh2
Eu notei que o endereço IP 112.33.4.100 não foi banido, e o ataque não está no prot TCP 22 então ele continua tentando com outra porta TCP e login
Onde está minha falta configure. Obrigado