1日目、最初の総当たり攻撃

インターネットってすごいですね。 一日も経っていないのに、もうサイバー攻撃を受けています。 実は、自分が甘かったです。 そこそこサイトが有名になっていたら、サイバー攻撃をうけるかと思いましたが、総当り攻撃は違います。 サーバーを公開する時点で攻撃を受けることがあることを学びました。

たまたま、「そういえばサーバーのログインログってどうやって見るんだろう?」と思って調べました。 すると、とんでもなく長いリストが出てきました。

server_log-1

こんなの、何ページもあります 総当り攻撃は必ずしも特定のサーバーを狙うわけではなく、全てのIPを試してみて、ヒットしたら(サーバーから返事があったら)、そのサーバーにアカパスを色々試してみているようです。 ログを見ると、ありそうな一般的なユーザー名(user、nginx、admin、rootなどなど)がログインしようとしています。 とりあえずルートキックを監視するためrkhunterをインストールしました。 また、サーバーとの接続を守るためFail2Banを設定しておき、ログインが何回失敗したら対象のIPアドレスを禁じられます。


【追加 2017年09月13日】 会社の先輩から、SSHのポートを変えると良いと言われたので、変えて、元のポート(22)を拒否しました。

もちろん、人間を騙すことはできませんが、とりあえずスクリープトからのログインがだいぶ減ります。