21 Apr 15 08:50, Alex Korchmar wrote to Vova Uralsky:
AK>>> вот этому пидорку расскажи, ага: AK>>> 18 1080 DROP all -- * * 58.218.201.19 VU>> Hу, ты пропатчи и вывеси такой sshd на 22 порту, по логам сразу видно AK> да блин, куда уж больше чем просто drop ? AK> а оно продолжает и продолжает трахать, сегодня там уже сотня.
Ага, приходит снова и снова в надежде что выпадет из списка запрщённых?
VU>> несчастные теряют всякий интерес. Только фильтровать вражьи IP VU>> ненадо, а то они снова приходят, с соседних, это их только VU>> раззадоривает. :-) AK> в случае одиночного сервера может и не надо, у меня в этом фильтре AK> только AK> "любимчики", трахающие с упорством дятла, чтоб меньше мусорили в AK> логах.
Как показывает мой опыт, фильтровать бессмысленно, очень быстро приходит новый бот с нового, но очень похожего IP. Именно это и было мотивацией затормозить аутентификацию. В этом случае новый бот не приходит.
AK> Многие вместо этого отваливаются на третьей-пятой попытке без всякого AK> таймаута.
Это бывает, например, поиск дырявых dsl routerов.
AK> В случае пачки серверов с единым управлением - надо, потому что с AK> этих же ip AK> идут всякие поиски дырок в вебе, ну и почту с такого ip я тоже AK> обрабатывал AK> сразу мэйлером discard.
В данном случае речь не идёт о профессиональной деятельности. Мне нечего фильтровать кроме ssh.
VU>> Как сделаешь, расскажи, как оно получилось. AK> может через месячишко - пока я не уверен что мне нужен открытый ssh.