１日目、最初の総当たり攻撃

インターネットってすごいですね。 一日も経っていないのに、もうサイバー攻撃を受けています。 実は、自分が甘かったです。 そこそこサイトが有名になっていたら、サイバー攻撃をうけるかと思いましたが、総当り攻撃は違います。 サーバーを公開する時点で攻撃を受けることがあることを学びました。

たまたま、「そういえばサーバーのログインログってどうやって見るんだろう？」と思って調べました。 すると、とんでもなく長いリストが出てきました。

総当り攻撃は必ずしも特定のサーバーを狙うわけではなく、全てのIPを試してみて、ヒットしたら（サーバーから返事があったら）、そのサーバーにアカパスを色々試してみているようです。 ログを見ると、ありそうな一般的なユーザー名（user、nginx、admin、rootなどなど）がログインしようとしています。 とりあえずルートキックを監視するためrkhunterをインストールしました。 また、サーバーとの接続を守るためFail2Banを設定しておき、ログインが何回失敗したら対象のIPアドレスを禁じられます。

【追加　2017年09月13日】 会社の先輩から、SSHのポートを変えると良いと言われたので、変えて、元のポート（22）を拒否しました。

もちろん、人間を騙すことはできませんが、とりあえずスクリープトからのログインがだいぶ減ります。