fail2ban ругается на сервис AMI

[gurmand]

Всем доброго дня!
В логах fail2ban каждые несколько секунд появляются записи вида
[2025-02-16 14:31:47] SECURITY[2058] res_security_log.c: SecurityEvent="SuccessfulAuth",EventTV="2025-02-16T14:31:47.090+0300",Severity="Informational",Service="AMI",EventVersion="1",AccountID="S2dWe0L3KrWo",SessionID="0x7fdafc00d630",LocalAddress="IPV4/TCP/127.0.0.1/5038",RemoteAddress="IPV4/TCP/127.0.0.1/46076",UsingPassword="0",SessionTV="2025-02-16T14:31:47.090+0300"

При этом 127.0.0.1 стоит в белом списке fail2ban .
В /etc/asterisk/manager.conf
есть секция
[S2dWe0L3KrWo]
secret = 145DUDKUgdO1
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.0
read = system,call,log,verbose,command,agent,user,config,command,dtmf,reporting,cdr,dialplan,originate,message
write = system,call,log,verbose,command,agent,user,config,command,dtmf,reporting,cdr,dialplan,originate,message
writetimeout = 5000

Что бы это значило и как правильно решить проблему?

[Glukinho]

Так написано же - пускает, всё нормально:

res_security_log.c: SecurityEvent="SuccessfulAuth",...

Предполагаю, что вы знаете, кто именно и зачем стучится на 127.0.0.1:5038 каждые несколько секунд? Если да, то всё нормально, это просто запись в логе, проблемы нет.

[Glukinho]

Если вот это вот:

[S2dWe0L3KrWo]
secret = 145DUDKUgdO1

вам неизвестно, то это похоже на взлом.

В консоли астериска что-нибудь видно в те моменты, когда появляются записи fail2ban? Только сначала выполните: core set verbose 5

[Zavr2008]

Стоит покопаться в файловой системе и поискать кто такой юзает пользователя S2dWe0L3KrWo

Также поможет netstat -aonp |grep 5038
Там можно увидеть процесс кто по AMI лезет на порт 5038

[gurmand]

Это тестовая виртуалка, в инет никогда не подключалась.