Fail2ban
Перевірка загального статусу та списку “в'язниць” (jails):
sudo fail2ban-client status
Детальна статистика по SSH: Ця команда покаже кількість заблокованих IP-адрес зараз та загальну кількість блокувань з моменту запуску служби.
Bash
sudo fail2ban-client status sshd
На що дивитися:
Currently banned: скільки атакувальників у “бані” прямо зараз.Total banned: скільки разів Fail2Ban спрацьовував (це число може бути великим). Перегляд логів Fail2Ban (історія блокувань): Щоб побачити хронологію, кого і коли було заблоковано:
tail -f /var/log/fail2ban.log
Натисніть Ctrl+C, щоб вийти.
Щоб порахувати кількість банів за весь час існування лог-файлу:
grep "Ban " /var/log/fail2ban.log | wc -l
2. Перевірка системних логів (ручний пошук атак)
Навіть якщо Fail2Ban не стоїть, система записує кожну невдалу спробу входу.
- Для Ubuntu/Debian:
/var/log/auth.log - Для CentOS/RHEL:
/var/log/secure
Як подивитися кількість невдалих спроб входу (brute-force):
grep "Failed password" /var/log/auth.log | wc -l
Якщо ви бачите тисячі записів, це означає, що боти активно намагаються підібрати пароль.
Хто намагається увійти (топ IP-адрес атакувальників): Ця команда виведе список IP, які найчастіше помилялися паролем:
grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head -10