Нагрузка CPU службой fail2ban

ImBlasted · 27 декабря 2023, 23:55:56

Здравствуйте, друзья!
Завел себе виртуальный сервер, на который установлен свежий Debian.
Используется только для своего "vpn" в виде 3x-ui панели. Все работало прекрасно.
И тут внезапно появилась большая нагрузка на CPU (до 100%) от сервиса fail2ban.
Она внезапно появляется и исчезает, пиками.

Выглядит это через команду top -i так:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
5857 root 20 0 16200 13784 4316 S 40.9 1.4 0:01.91 fail2ban-client
5864 root 20 0 7480 4800 2540 R 40.9 0.5 0:00.09 fail2ban-server
5863 root 20 0 10972 3364 2916 R 22.7 0.3 0:00.12 top

При этом в списке установленных пакетов fail2ban вообще нет, остановить его или удалить не получается.
Пробовал заново установить и удалить, не помогло.

В списке по команде systemctl --full --type service --all fail2ban присутствует!
fail2ban.service loaded active exited LSB: Start/stop fail2ban

Помогите, подскажите какие-то варианты избавиться этой этой заразы))
P.s.: прошу прощения, я человек в линуксе новый

ek-nfn · 28 декабря 2023, 02:53:53

этот процесс, скорее всего от установленного софта для аудита, сканирования на наличие руткитов и прочих проникновений. У этого софта такая фигня обычное явление.

dzhoser · 28 декабря 2023, 04:39:59

Код Выделить

cat /var/log/fail2ban.logПокажите выхлоп текстом

amd_amd · 28 декабря 2023, 05:48:48

Цитата: ImBlasted от 27 декабря 2023, 23:55:56в списке установленных пакетов fail2ban вообще нет

и тут нет? dpkg -l fail2ban

ImBlasted · 28 декабря 2023, 08:52:42

Цитата: dzhoser от 28 декабря 2023, 04:39:59
Код Выделить Развернуть
cat /var/log/fail2ban.logПокажите выхлоп текстом

Открыть содержимое (спойлер)

[sshd] Fo
und 43.153.100.232 - 2023-12-27 15:07:06
2023-12-27 15:07:07,652 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 51.83.27.205
2023-12-27 15:07:08,045 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 51.142.182.209
2023-12-27 15:07:08,537 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 109.125.137.170
2023-12-27 15:07:08,726 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 54.36.98.63
2023-12-27 15:07:08,906 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 91.196.54.125
2023-12-27 15:07:09,577 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 43.153.100.232
2023-12-27 15:07:10,133 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 24.199.110.179
2023-12-27 15:07:10,561 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 198.12.85.154
2023-12-27 15:07:10,749 fail2ban.filter [2841]: INFO [sshd] Fo
und 200.195.162.67 - 2023-12-27 15:07:10
2023-12-27 15:07:10,938 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 157.230.30.117
2023-12-27 15:07:11,301 fail2ban.filter [2841]: INFO [sshd] Fo
und 43.153.78.101 - 2023-12-27 15:07:11
2023-12-27 15:07:11,387 fail2ban.filter [2841]: INFO [sshd] Fo
und 43.153.78.101 - 2023-12-27 15:07:11
2023-12-27 15:07:11,418 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 5.226.51.242
2023-12-27 15:07:11,510 fail2ban.filter [2841]: INFO [sshd] Fo
und 200.195.162.67 - 2023-12-27 15:07:11
2023-12-27 15:07:11,562 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 27.254.137.144
2023-12-27 15:07:11,584 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 80.253.31.232
2023-12-27 15:07:11,621 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 43.156.39.228
2023-12-27 15:07:11,661 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 43.134.0.11
2023-12-27 15:07:11,880 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 209.38.242.40
2023-12-27 15:07:11,965 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 190.128.169.130
2023-12-27 15:07:12,281 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 43.155.177.183
2023-12-27 15:07:12,701 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 43.153.78.101
2023-12-27 15:07:13,052 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 186.210.212.206
2023-12-27 15:07:13,682 fail2ban.filter [2841]: INFO [sshd] Fo
und 43.153.78.101 - 2023-12-27 15:07:13
2023-12-27 15:07:13,906 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 40.78.26.134
2023-12-27 15:07:14,218 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 43.156.84.86
2023-12-27 15:07:14,574 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 185.126.200.106
2023-12-27 15:07:15,691 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 43.133.206.61
2023-12-27 15:07:17,034 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 129.226.222.151
2023-12-27 15:07:18,215 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 128.199.194.1
2023-12-27 15:07:19,551 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 83.235.16.111
2023-12-27 15:07:20,731 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 43.155.165.247
2023-12-27 15:07:21,309 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 200.195.162.67
2023-12-27 15:07:21,871 fail2ban.actions [2841]: NOTICE [sshd] Ba
n 43.159.59.118
2023-12-27 15:09:40,988 fail2ban.server [2841]: INFO Shutdown
in progress...
2023-12-27 15:09:40,990 fail2ban.server [2841]: INFO Stopping
all jails
2023-12-27 15:09:41,020 fail2ban.filter [2841]: INFO Removed l
ogfile: '/var/log/auth.log'
2023-12-27 15:09:41,104 fail2ban.actions [2841]: NOTICE [sshd] Fl
ush ticket(s) with iptables-multiport
2023-12-27 15:09:41,419 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 181.48.99.155
2023-12-27 15:09:41,421 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 157.245.147.83
2023-12-27 15:09:41,421 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 43.134.132.76
2023-12-27 15:09:41,421 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 27.71.237.15
2023-12-27 15:09:41,421 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 164.163.98.49
2023-12-27 15:09:41,421 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 159.65.91.105
2023-12-27 15:09:41,421 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 167.71.196.217
2023-12-27 15:09:41,421 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 118.69.161.67
2023-12-27 15:09:41,425 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 43.132.167.8
2023-12-27 15:09:41,426 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 147.182.224.240
2023-12-27 15:09:41,426 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 43.153.189.64
2023-12-27 15:09:41,426 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 190.145.17.26
2023-12-27 15:09:41,426 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 185.209.223.8
2023-12-27 15:09:41,426 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 51.83.27.205
2023-12-27 15:09:41,426 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 51.142.182.209
2023-12-27 15:09:41,426 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 109.125.137.170
2023-12-27 15:09:41,426 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 54.36.98.63
2023-12-27 15:09:41,427 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 91.196.54.125
2023-12-27 15:09:41,427 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 43.153.100.232
2023-12-27 15:09:41,427 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 24.199.110.179
2023-12-27 15:09:41,427 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 198.12.85.154
2023-12-27 15:09:41,427 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 157.230.30.117
2023-12-27 15:09:41,427 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 5.226.51.242
2023-12-27 15:09:41,429 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 27.254.137.144
2023-12-27 15:09:41,429 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 80.253.31.232
2023-12-27 15:09:41,429 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 43.156.39.228
2023-12-27 15:09:41,429 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 43.134.0.11
2023-12-27 15:09:41,429 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 209.38.242.40
2023-12-27 15:09:41,429 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 190.128.169.130
2023-12-27 15:09:41,429 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 43.155.177.183
2023-12-27 15:09:41,430 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 43.153.78.101
2023-12-27 15:09:41,430 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 186.210.212.206
2023-12-27 15:09:41,430 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 40.78.26.134
2023-12-27 15:09:41,430 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 43.156.84.86
2023-12-27 15:09:41,430 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 185.126.200.106
2023-12-27 15:09:41,430 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 43.133.206.61
2023-12-27 15:09:41,430 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 129.226.222.151
2023-12-27 15:09:41,430 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 128.199.194.1
2023-12-27 15:09:41,430 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 83.235.16.111
2023-12-27 15:09:41,431 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 43.155.165.247
2023-12-27 15:09:41,431 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 200.195.162.67
2023-12-27 15:09:41,431 fail2ban.actions [2841]: NOTICE [sshd] Un
ban 43.159.59.118
2023-12-27 15:09:42,340 fail2ban.jail [2841]: INFO Jail 'ssh
d' stopped
2023-12-27 15:09:42,422 fail2ban.database [2841]: INFO Connectio
n to database closed.
2023-12-27 15:09:42,443 fail2ban.server [2841]: INFO Exiting F
ail2ban

[свернуть]

28 декабря 2023, 08:55:42

Цитата: amd_amd от 28 декабря 2023, 05:48:48
Цитата: ImBlasted от 27 декабря 2023, 23:55:56в списке установленных пакетов fail2ban вообще нет
и тут нет? dpkg -l fail2ban

Открыть содержимое (спойлер)

dpkg -l fail2ban
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-==============-============-============-===================================================
rc fail2ban 0.10.2-2.1 all ban hosts that cause multiple authentication errors

[свернуть]

dzhoser · 28 декабря 2023, 09:51:02

Попробуйте сменить порт для ssh

ImBlasted · 28 декабря 2023, 12:18:31

Цитата: dzhoser от 28 декабря 2023, 09:51:02Попробуйте сменить порт для ssh

Спасибо, сменил! Но не помогло, нагрузка так и скачет до 100%:(
Как можно правильно отключить службу fail2ban? Заранее спасибо!

ogost · 28 декабря 2023, 12:38:31

Не самая хорошая идея - отключать fail2ban. Кроме того, непонятно как он установлен, и сходу так и не поймёшь как его отключить.
Если его запускает systemd, достаточно сделать stop и disable.

28 декабря 2023, 12:39:24
И вообще вы уверены, что в нём проблема? Я годами пользуюсь fail2ban и таких проблем никогда не испытывал.

ImBlasted · 28 декабря 2023, 13:35:35

Цитата: ogost от 28 декабря 2023, 12:38:31Не самая хорошая идея - отключать fail2ban. Кроме того, непонятно как он установлен, и сходу так и не поймёшь как его отключить.
Если его запускает systemd, достаточно сделать stop и disable.

28 декабря 2023, 12:39:24
И вообще вы уверены, что в нём проблема? Я годами пользуюсь fail2ban и таких проблем никогда не испытывал.

Вы правы, сделал иначе

Переустановил систему и все заново настроил. Работает как часы

Всем спасибо за ответы!)