増子良太のブログです

増子良太が書いているブログです。テーマをしぼらず、思いついたものをただひたすら書いていきます。

不正アタック

      2013/06/28

おはようございます。rmascoです。

今日は「不正アタック」についてです。

このブログを運営しているサーバは、さくらのVPSを借りて、
運用しています。
先日logを眺めていると、btmpというログがすごく大きくなっていることに気づきました。

btmpというログは、sshでログインに失敗したりすると出力されるログで、
このログが大きいということは何らかの不正アタックがあったということになります。

実際に中身を表示してみます。
# lastb

nada ssh:notty 211-20-112-146.h Mon Apr 23 22:24 - 22:24 (00:00)
nada ssh:notty 211-20-112-146.h Mon Apr 23 22:24 - 22:24 (00:00)
nad ssh:notty 211-20-112-146.h Mon Apr 23 22:23 - 22:23 (00:00)
nad ssh:notty 211-20-112-146.h Mon Apr 23 22:23 - 22:23 (00:00)
nacional ssh:notty 211-20-112-146.h Mon Apr 23 22:21 - 22:21 (00:00)
nacional ssh:notty 211-20-112-146.h Mon Apr 23 22:21 - 22:21 (00:00)
naci ssh:notty 211-20-112-146.h Mon Apr 23 22:20 - 22:20 (00:00)
naci ssh:notty 211-20-112-146.h Mon Apr 23 22:20 - 22:20 (00:00)
nachum ssh:notty 211-20-112-146.h Mon Apr 23 22:18 - 22:18 (00:00)
nachum ssh:notty 211-20-112-146.h Mon Apr 23 22:18 - 22:18 (00:00)
nachtshe ssh:notty 211-20-112-146.h Mon Apr 23 22:17 - 22:17 (00:00)
nachtshe ssh:notty 211-20-112-146.h Mon Apr 23 22:17 - 22:17 (00:00)
nachi ssh:notty 211-20-112-146.h Mon Apr 23 22:15 - 22:15 (00:00)
nachi ssh:notty 211-20-112-146.h Mon Apr 23 22:15 - 22:15 (00:00)
nachazel ssh:notty 211-20-112-146.h Mon Apr 23 22:14 - 22:14 (00:00)
nachazel ssh:notty 211-20-112-146.h Mon Apr 23 22:14 - 22:14 (00:00)
nace ssh:notty 211-20-112-146.h Mon Apr 23 22:12 - 22:12 (00:00)
nace ssh:notty 211-20-112-146.h Mon Apr 23 22:12 - 22:12 (00:00)
nabumasa ssh:notty 211-20-112-146.h Mon Apr 23 22:11 - 22:11 (00:00)

sshでログインできなかったユーザー名が表示されています。

とりあえずsshをデフォルトのポート(22)で動いていますが、これを別のポートに変更してみました。
変更は/etc/ssh/sshd_configで変更します。
※rootでないと編集できません
※失敗するとsshでログインできなくなってしまうので、バックアップはとっておきましょう

# vi /etc/ssh/sshd_config
#Portとコメントになっている下に追記します。

#Port 22
Port 好きなポート番号

ほんとはこの対策と同時に、iptableなどで22を閉じる必要がありそうですが、
この対策でとりあえずは様子を見てみます。

サーバを管理するって本当に大変ですね。。。

 - その他