sti320a

勉強したことのまとめ

CentOS7への不正なログイン失敗のログを取得する

さくらのVPSを借りて、CentOS7をインストールしたあと、パスワードによるログインを許可したままにしておくと、大量に不正なログイン試行があるので、そのログを取得して中身をみる。

さくらのVPSでは、OSインストール時に、パケットフィルタが設定される。デフォルトの設定では ssh のみ許可されるが、ssh のアタックログはかなり多い。

下記ファイルがsshのログ。

/var/log/secure

ログイン失敗のログは grep -e 'Failed' で取得する。 念のため、ログイン成功のログも -e 'Accepted' を指定して取り出す。

cat /var/log/secure | grep -e 'Failed' -e 'Accepted' > sshlog.txt

これをローカルにコピーする。

scp [host]:~/sshlog.txt ./

サーバ起動から約1日で 1550KB のログイン失敗のログがある。

sshlog.txt                            100% 1550KB 538.3KB/s   00:02

ログの一部が以下。 アクセス先は * にしてある。

様々なユーザ名を辞書順に入れてログインを試していることが分かる。

keiko や kenji, kentaro といった日本人の名前を利用したユーザ名でのログインが試みられていることが分かる。

Aug 26 11:19:01 * sshd[24842]: Failed password for invalid user keiko-o from 13.126.42.80 port 31454 ssh2
Aug 26 11:19:13 * sshd[24844]: Failed password for invalid user kelby from 13.126.42.80 port 60366 ssh2
Aug 26 11:19:25 * sshd[24846]: Failed password for invalid user kelita from 13.126.42.80 port 32777 ssh2
Aug 26 11:19:36 * sshd[24848]: Failed password for invalid user soap from 94.42.178.137 port 60200 ssh2
Aug 26 11:19:38 * sshd[24850]: Failed password for invalid user kendrick from 13.126.42.80 port 61689 ssh2
Aug 26 11:19:51 * sshd[24852]: Failed password for invalid user keng from 13.126.42.80 port 34102 ssh2
Aug 26 11:20:02 * sshd[24854]: Failed password for invalid user sam from 213.209.114.26 port 36280 ssh2
Aug 26 11:20:03 * sshd[24856]: Failed password for invalid user kenji from 13.126.42.80 port 63014 ssh2
Aug 26 11:20:15 * sshd[24866]: Failed password for invalid user kenm from 13.126.42.80 port 35425 ssh2
Aug 26 11:20:28 * sshd[24868]: Failed password for invalid user kenneth from 13.126.42.80 port 64337 ssh2
Aug 26 11:20:41 * sshd[24870]: Failed password for invalid user kenta from 13.126.42.80 port 36748 ssh2
Aug 26 11:20:53 * sshd[24872]: Failed password for invalid user kentaro from 13.126.42.80 port 9161 ssh2

上記のログのアクセス元として、3種類の ip アドレスがあるが、1つは aws のものでインドからのアクセスということになっている。

残りは、ポーランドとドイツ。

また、以下のように root ユーザでログインしようとした形跡も多く見つかる(これは中国)。

Aug 25 14:42:43 * sshd[4715]: Failed password for root from 218.92.0.203 port 13039 ssh2
Aug 25 14:42:46 * sshd[4715]: Failed password for root from 218.92.0.203 port 13039 ssh2

このままにしておくと危ないので、ssh に使用するポートを変更し、パスワードによるログインや root ログインを禁止する。

vim /etc/ssh/sshd_config # 編集
service sshd restart # sshdを再起動

なお、さくらの VPS でパケットフィルタが有効になっているので、変更後のポートをVPS側の設定で解放する必要がある。

個別にポートを指定して解放できないので、パケットフィルタの機能を利用しない設定にして、自分でファイアウォールの設定をする。

22番ポートは閉じる。