ベストアンサー

リナックスで攻撃？されているログ

2010/02/05 00:12

勉強用に立ち上げたサーバーの/var/log/secureに下のようなメッセージがぶわ～っと出力されていたんですが、これは攻撃を受けていると見てよいのでしょうか？一つ一つポートをかえてきているようで、とはいってもたまたまヒットしてもパスワードまでは分からないと思うのですが、何となく不気味です。。。 67427 Feb 4 23:47:22 username sshd[3466]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=217-168-44-137.static.cablecom.ch user=root 67428 Feb 4 23:47:25 username sshd[3466]: Failed password for root from 217.168.44.137 port 41281 ssh2 67429 Feb 4 23:47:25 username sshd[3467]: Received disconnect from 217.168.44.137: 11: Bye Bye 67430 Feb 4 23:47:27 username sshd[3468]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=217-168-44-137.static.cablecom.ch user=root 67431 Feb 4 23:47:29 username sshd[3468]: Failed password for root from 217.168.44.137 port 41641 ssh2 67432 Feb 4 23:47:29 username sshd[3469]: Received disconnect from 217.168.44.137: 11: Bye Bye 知識のある方ご教授いただければと思います。

guttten
お礼率49% (247/495)

Linux系OS
回答数3
ありがとう数3

みんなの回答 （3）
専門家の回答

質問者が選んだベストアンサー

ベストアンサー

Wr5
ベストアンサー率53% (2173/4061)

2010/02/05 01:38 回答No.2

はい。「SSH ブルートフォースアタック」です。 >一つ一つポートをかえてきているようで接続元のポート番号は、ふつうはランダムです。ので、この場合はたいした意味はありません。 >とはいってもたまたまヒットしてもパスワードまでは分からないと思うのですが、パスワード認証の設定であれば、悪くすると突破される可能性があります。認証に使用しようとしているーザー名は Failed password for 【root】 from ～です。ログに記録されているモノを抽出してみると、いろいろなユーザー名で試行されていることがわかるでしょう。その中に、存在するアカウントがあったら… ・接続可能なユーザーを制限する。=>AllowUsersやAllowGroups ・公開鍵認証に変更する。・待ち受けポートを非標準ポートに変更する。などの対応があります。ポート変えちゃうのが、不要なログも減っていいかと思います。

質問者

お礼 2010/02/12 01:59

なるほど、変わってるポートは相手のですね＾＾；焦って勘違いしました。。お恥ずかしい。公開鍵認証は一度だけ教えてもらってやった事があるのですが、余り理解せずやってしまったので設定の仕方を忘れてしまい、今はパスワード認証なんですよね。。怖いですねぇ。ログもうっとおしいので待ち受けポートを標準じゃないのにするのは、いいかもしれません。ありがとうございました！

その他の回答 (2)

astronaut
ベストアンサー率58% (303/516)

2010/02/06 00:51 回答No.3

パスワードによるログインを無効にするなどによってほぼ無害となるのは既出。でも、アタック自体を弾ける訳ではないので、ログが膨れあがるなど鬱陶しいものです。ブルートフォースアタックを察知して、iptablesによってアタック元のIPアドレスからのアクセスをブロックするツールがあるので、利用すると良いですよ。私は、その名も blocksshd を使っています。

参考URL：: http://blocksshd.sourceforge.net/

hanabutako
ベストアンサー率54% (492/895)

2010/02/05 01:33 回答No.1

sshで接続してrootのパスワードを虱潰しに調べようとしているんでしょうね。 sshを最新のバージョンにあげてあり、sshの設定としてrootのログインを禁止していたら全く問題ない攻撃です。また、root以外の実在ユーザーのパスワードを狙ってくるログを見つけたら、RSA認証しかログイン出来ないようにするなどの対策をしておけば問題ないです。まぁ、sshを外部に提供しているマシンだと一日一回以上はこういうログが出ますね。あまりにも当たり前に出るようになってむしろ慣れてしまうくらいです。

リナックスで攻撃？されているログ

質問者が選んだベストアンサー

お礼 2010/02/12 01:59

その他の回答 (2)

関連するQ&A

/var/log/secureの時間表記について

rootでのsshログインを許可したいのですが、何故か出来ません。

vine linux4.2でサーバーを立てているのですが、少々問題が起

Linux3.2　サーバーsecure logファイルについて

一般ユーザーからrootにできない

玄箱ｐｒｏでｓｓｈ接続でパスワードでの接続ができてしまう

webminについて

sshdログの意味

linuxコマンド(時間の抽出について)

メールサーバのログにConnection reset by peerとあったのですが、何が起こったのでしょうか。

syslogdのrestartについて

SCSIのHDDが３本さしてあるマシンから２本抜いたらI/Oエラーが頻発する

特定ホストからのみSSHでのrootログインを許可

不正アクセスの処理について

自宅LINUXサーバの初期化方法について

SSHをLDAPで認証

TeraTermマクロでssh認証画面で反応なし

パソコンを買い替えたら、FFFTP でサーバに入れなくなってしまいまし

ウィルスでしょうか？

vine3.1のSSHサーバにアクセスするとエラー「ssh_exchange_identification: Connection closed by remo

注目のQ&A

カテゴリ

あなたにピッタリな商品が見つかる！ OKWAVE セレクト

専門家に質問してみよう

リナックスで攻撃？されているログ

質問者が選んだベストアンサー

お礼 2010/02/12 01:59

その他の回答 (2)

関連するQ&A

/var/log/secureの時間表記について

rootでのsshログインを許可したいのですが、何故か出来ません。

vine linux4.2でサーバーを立てているのですが、少々問題が起

Linux3.2 サーバーsecure logファイルについて

一般ユーザーからrootにできない

玄箱ｐｒｏでｓｓｈ接続でパスワードでの接続ができてしまう

webminについて

sshdログの意味

linuxコマンド(時間の抽出について)

メールサーバのログにConnection reset by peerとあったのですが、何が起こったのでしょうか。

syslogdのrestartについて

SCSIのHDDが３本さしてあるマシンから２本抜いたらI/Oエラーが頻発する

特定ホストからのみSSHでのrootログインを許可

不正アクセスの処理について

自宅LINUXサーバの初期化方法について

SSHをLDAPで認証

TeraTermマクロでssh認証画面で反応なし

パソコンを買い替えたら、FFFTP でサーバに入れなくなってしまいまし

ウィルスでしょうか？

vine3.1のSSHサーバにアクセスするとエラー「ssh_exchange_identification: Connection closed by remo

注目のQ&A

カテゴリ

あなたにピッタリな商品が見つかる！ OKWAVE セレクト

専門家に質問してみよう

Linux3.2　サーバーsecure logファイルについて