Ataque de fuerza bruta por SSH a servidor Linux

Recibiendo Ataque de fuerza bruta por SSH a servidor Linux Centos7 (SOLUCIONADO)

Hace un par de días al acceder a mi servidor por SSH, veo un aviso que me dice: "There were 68992 failed login attempts since the last successful login." (Hubo 68992 intentos de inicio de sesión fallidos desde el último inicio de sesión exitoso.)

Cada segundo más o menos estaba recibiendo un intento de login por SSH con el usuario "root" y con otros nombre de usuario como "admin", "user2", etc.

Como ejemplo muestro la respuesta del comando "lastb" que muestra los intentos de acceso fallidos:

[root@server ~]#  lastb -ain 10

pi       ssh:notty    Thu Mar  8 08:45 - 08:45  (00:00)     67.212.124.43

pi       ssh:notty    Thu Mar  8 08:45 - 08:45  (00:00)     67.212.124.43

pi       ssh:notty    Thu Mar  8 08:45 - 08:45  (00:00)     67.212.124.43

pi       ssh:notty    Thu Mar  8 08:45 - 08:45  (00:00)     67.212.124.43

electrum ssh:notty    Thu Mar  8 08:42 - 08:42  (00:00)     80.147.210.170

electrum ssh:notty    Thu Mar  8 08:42 - 08:42  (00:00)     80.147.210.170

user2    ssh:notty    Thu Mar  8 08:41 - 08:41  (00:00)     109.245.221.126

user2    ssh:notty    Thu Mar  8 08:41 - 08:41  (00:00)     109.245.221.126

root     ssh:notty    Thu Mar  8 08:32 - 08:32  (00:00)     59.63.166.104

root     ssh:notty    Thu Mar  8 08:32 - 08:32  (00:00)     59.63.166.104

Con el comando "last" muestra los acceso correctos, ejemplo:

[root@server ~]#  last -ain 5

root     pts/0        Thu Mar  8 15:38   still logged in   mi-ip.xxx.xxx.xx

root     pts/0        Thu Mar  8 09:19 - 15:38  (06:19) mi-ip.xxx.xxx.xx

root     pts/1        Thu Mar  8 06:58 - 08:59  (02:00)    mi-ip.xxx.xxx.xx

konclass ftpd8541     Thu Mar  8 06:21 - 06:22  (00:01)    mi-ip.xxx.xxx.xx

konclass ftpd8539     Thu Mar  8 06:21 - 06:31  (00:10)     mi-ip.xxx.xxx.xx

Para ver más información sobre los intentos de acceso me voy a ver los log:   cd /var/log/

Al hacer un "ls" # ls -lh ya veo que los archivos de registro pesan demasiado:

17M mar  8 15:38 secure

31M mar  4 03:49 secure-20180304

Aquí muestro como ejemplo una parte del log "secure":

Mar  8 05:51:41 server sshd[6288]: Invalid user list from 188.166.213.215 port 46034
Mar  8 05:51:41 server sshd[6288]: input_userauth_request: invalid user list [preauth]
Mar  8 05:51:41 server sshd[6288]: pam_unix(sshd:auth): check pass; user unknown
Mar  8 05:51:41 server sshd[6288]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.166.213.215
Mar  8 05:51:43 server sshd[6288]: Failed password for invalid user list from 188.166.213.215 port 46034 ssh2
Mar  8 05:51:44 server sshd[6288]: Received disconnect from 188.166.213.215 port 46034:11: Normal Shutdown, Thank you for playing [preauth]
Mar  8 05:51:44 server sshd[6288]: Disconnected from 188.166.213.215 port 46034 [preauth]

Como solución, primero lo intente con FAIL2BAN, pero no me resulto nada bien, me bloqueaba el acceso a todos los sitios web alojados en el servidor, bloqueando los puertos 80 y 443 y tuve un lio del copón para volver a dejar todo funcionando de nuevo, en fin, un lío muy grande y seguía todo igual.

LA SOLUCIÓN! 

Instalar PLESK FIREWALL y crear una regla que bloquea el acceso SSH (puerto 22) con una excepción! mi IP. Sencillo y efectivo!