中国などからサーバーに攻撃を受けていたお話。
12月からエストニアのVPSサーバーが安かったので契約。
テスト機として、稼働。
当たり前ですが、物理的に遠い場所にサーバーがあるので、ユーザ向けのサービスとしては失格ですが、
日本で借りるより、安いです。
久々にサーバーにsshでログインしたところびっくり。
There were 241782 failed login attempts since the last successful login.
ということで、24万回も攻撃を受けていました。
テスト機といえども、乗っ取られては元も子もないので、調べていきます。
grep -i Failed /var/log/secure
でログを調べることができます。
これが多数。4秒毎に総攻撃を浴びていました。Jan 17 19:46:07 50707 sshd[17826]: Failed password for root from ipアドレス port 1626 ssh2
Jan 17 19:46:11 50707 sshd[17826]: Failed password for root from ipアドレス port 1626 ssh2
Jan 17 19:46:18 50707 sshd[17832]: Failed password for root from ipアドレス port 35647 ssh2
ipアドレスを調べてみると、中国やアフリカでした。
一旦拒否するipアドレスをiptablesに記載
確認
# iptables -L
# iptables -I INPUT -s 拒否したいipアドレス -j DROP
これで、 めでたしめでたしだと思ったのですが、やつらは凄いです。
ipアドレスを拒否したら、10分後には違うipアドレスで攻撃を仕掛けてきました。
再度拒否したら、攻撃が止みました。
時間のある時に、セキュリティ強化しておかないといけないなと。
コメント