記録

自宅サーバに総当たり

自宅サーバとして利用しているQNAP TS-109IIのLEDが、たまにものすごい勢いで点滅していて、気になりつつそのまま放置しおいたのだけれども、ひょんなことから原因がわかった。
外部からsshdに対する総当たり攻撃だった。

  1. なんかまた点滅してるよ
  2. どれみてみるか → sshでログインしてtopコマンド
  3. ん?自分以外にもrootユーザとsshdユーザ用のsshdがあるぞ
  4. netstat -all  → あやしげなIPからsshdにESTABLISHED
  5. まさか侵入されてる?とりあえずログだログ → grep ssh /var/log/*.log
  6. 総当たりされてる!!

……
/var/log/auth.log:Mar 25 00:44:36 hoge sshd[13208]: Invalid user wh from xxx.xxx.xxx.xxx
/var/log/auth.log:Mar 25 00:44:37 hoge sshd[13210]: Invalid user wg from xxx.xxx.xxx.xxx
/var/log/auth.log:Mar 25 00:44:39 hoge sshd[13212]: Invalid user wn from xxx.xxx.xxx.xxx
……

こんなログが延々と続いてた。

パスワード認証はOFFにしてたのでとりあえずは問題なさそう。
だけど気持ち悪いので、ファイヤウォールでsshアクセスをデフォルト拒否、指定アドレスのみ許可の設定にしておいた。

サーバを目につく位置に置いといたのが意外と役に立った。

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中