CentOS7への不正なログイン失敗のログを取得する
さくらのVPSを借りて、CentOS7をインストールしたあと、パスワードによるログインを許可したままにしておくと、大量に不正なログイン試行があるので、そのログを取得して中身をみる。
さくらのVPSでは、OSインストール時に、パケットフィルタが設定される。デフォルトの設定では ssh のみ許可されるが、ssh のアタックログはかなり多い。
下記ファイルがsshのログ。
/var/log/secure
ログイン失敗のログは grep -e 'Failed' で取得する。 念のため、ログイン成功のログも -e 'Accepted' を指定して取り出す。
cat /var/log/secure | grep -e 'Failed' -e 'Accepted' > sshlog.txt
これをローカルにコピーする。
scp [host]:~/sshlog.txt ./
サーバ起動から約1日で 1550KB のログイン失敗のログがある。
sshlog.txt 100% 1550KB 538.3KB/s 00:02
ログの一部が以下。 アクセス先は * にしてある。
様々なユーザ名を辞書順に入れてログインを試していることが分かる。
keiko や kenji, kentaro といった日本人の名前を利用したユーザ名でのログインが試みられていることが分かる。
Aug 26 11:19:01 * sshd[24842]: Failed password for invalid user keiko-o from 13.126.42.80 port 31454 ssh2 Aug 26 11:19:13 * sshd[24844]: Failed password for invalid user kelby from 13.126.42.80 port 60366 ssh2 Aug 26 11:19:25 * sshd[24846]: Failed password for invalid user kelita from 13.126.42.80 port 32777 ssh2 Aug 26 11:19:36 * sshd[24848]: Failed password for invalid user soap from 94.42.178.137 port 60200 ssh2 Aug 26 11:19:38 * sshd[24850]: Failed password for invalid user kendrick from 13.126.42.80 port 61689 ssh2 Aug 26 11:19:51 * sshd[24852]: Failed password for invalid user keng from 13.126.42.80 port 34102 ssh2 Aug 26 11:20:02 * sshd[24854]: Failed password for invalid user sam from 213.209.114.26 port 36280 ssh2 Aug 26 11:20:03 * sshd[24856]: Failed password for invalid user kenji from 13.126.42.80 port 63014 ssh2 Aug 26 11:20:15 * sshd[24866]: Failed password for invalid user kenm from 13.126.42.80 port 35425 ssh2 Aug 26 11:20:28 * sshd[24868]: Failed password for invalid user kenneth from 13.126.42.80 port 64337 ssh2 Aug 26 11:20:41 * sshd[24870]: Failed password for invalid user kenta from 13.126.42.80 port 36748 ssh2 Aug 26 11:20:53 * sshd[24872]: Failed password for invalid user kentaro from 13.126.42.80 port 9161 ssh2
上記のログのアクセス元として、3種類の ip アドレスがあるが、1つは aws のものでインドからのアクセスということになっている。
残りは、ポーランドとドイツ。
また、以下のように root ユーザでログインしようとした形跡も多く見つかる(これは中国)。
Aug 25 14:42:43 * sshd[4715]: Failed password for root from 218.92.0.203 port 13039 ssh2 Aug 25 14:42:46 * sshd[4715]: Failed password for root from 218.92.0.203 port 13039 ssh2
このままにしておくと危ないので、ssh に使用するポートを変更し、パスワードによるログインや root ログインを禁止する。
vim /etc/ssh/sshd_config # 編集 service sshd restart # sshdを再起動
なお、さくらの VPS でパケットフィルタが有効になっているので、変更後のポートをVPS側の設定で解放する必要がある。
個別にポートを指定して解放できないので、パケットフィルタの機能を利用しない設定にして、自分でファイアウォールの設定をする。
22番ポートは閉じる。