はじめまして。望月と申します。 あるサイトの管理を行っておりOSはRedHat9を使用しております。 今月に入りsshdに関する以下のようなログが/var/log/secuerファイルに書き込 まれており、最初はいたずら程度に考えていたのですが、今月に入り一日何百件 も来るようになり、本格的に対策を考えております。 このログから解かることは相手が何らかの方法でランダムなユーザー名でsshに よるログインを試している。 送信先ホスト情報や、ログインユーザー情報(Illegal user crio from 213.23.7X.5X の部分)の余りの多さと、ランダムな部分から一人の人間ではない。 むしろ、人間よりもコンピューターで自動的に検証している。 です。 簡単なところでは、送信元ホストのipアドレスでの制限ですが、 相手ホストはランダムのようであり、マニュアルでこの制限を行ってい たのでは、余り根本的な解決にはならないのかと思っております。 最終的には、何らかの方法で動的にフィルタをかける部分に落ち着くのかとは思 いますが、このような症状が気になります。 もし、同じような状況を経験されている方がいましたら、根本的な解決策をご教 授してはいただけないでしょうか。 ---- /var/log/secuer ここから ---------------- May 25 02:28:55 hoge sshd[27363]: Connection from 213.23.7X.5X port 25613 May 25 02:28:55 hoge sshd[3897]: debug1: Forked child 27363. May 25 02:28:55 hoge sshd[27363]: debug1: Client protocol version 2.0; client software version libssh-0.1 May 25 02:28:55 hoge sshd[27363]: debug1: no match: libssh-0.1 May 25 02:28:55 hoge sshd[27363]: debug1: Enabling compatibility mode for protocol 2.0 May 25 02:28:55 hoge sshd[27363]: debug1: Local version string SSH-2.0-OpenSSH_3.5p1 May 25 02:28:57 hoge sshd[27363]: Illegal user crio from 213.23.7X.5X May 25 02:28:57 hoge sshd[27363]: debug1: Starting up PAM with username "NOUSER" May 25 02:28:57 hoge sshd[27363]: debug1: PAM setting rhost to "213.23.7X.5X" May 25 02:28:57 hoge sshd[27363]: debug1: Calling cleanup 0x8054540(0x0) ※念のため、相手先ホストのIPアドレスは伏せさせていただいております。
Follow-Ups:
- [linux-users:104958] Re: SSHの大量不正アクセスログdezawa
- [linux-users:104959] Re: SSHの大量不正アクセスログ兵頭 慎児
- [linux-users:104960] Re: SSHの大量不正アクセスログtatz
- [linux-users:104962] Re: SSHの大量不正アクセスログkatagiri
- [linux-users:104963] Re: SSHの大量不正アクセスログpicle
- [linux-users:104973] Re: SSHの大量不正アクセスログKentaro Shinto
- [linux-users:104975] Re: SSHの大量不正アクセスログMATSUDA Yoh-ichi / 松田陽一
- Prev by Subject: [linux-users:104956] netstat 統計情報をクリアする方法
- Next by Subject: [linux-users:104958] Re: SSHの大量不正アクセスログ
- Previous by thread: [linux-users:104956] netstat 統計情報をクリアする方法
- Next by thread: [linux-users:104958] Re: SSHの大量不正アクセスログ
- Indexes:[Main][Thread]