1日目、最初の総当たり攻撃

in #インターネット

インターネットってすごいですね。
一日も経っていないのに、もうサイバー攻撃を受けています。
実は、自分が甘かったです。
そこそこサイトが有名になっていたら、サイバー攻撃をうけるかと思いましたが、総当り攻撃は違います。
サーバーを公開する時点で攻撃を受けることがあることを学びました。

たまたま、「そういえばサーバーのログインログってどうやって見るんだろう?」と思って調べました。
すると、とんでもなく長いリストが出てきました。
server_log-1
こんなの、何ページもあります
総当り攻撃は必ずしも特定のサーバーを狙うわけではなく、全てのIPを試してみて、ヒットしたら(サーバーから返事があったら)、そのサーバーにアカパスを色々試してみているようです。
ログを見ると、ありそうな一般的なユーザー名(user、nginx、admin、rootなどなど)がログインしようとしています。
とりあえずルートキックを監視するためrkhunterをインストールしました。
また、サーバーとの接続を守るためFail2Banを設定しておき、ログインが何回失敗したら対象のIPアドレスを禁じられます。


【追加 2017年09月13日】
会社の先輩から、SSHのポートを変えると良いと言われたので、変えて、元のポート(22)を拒否しました。

もちろん、人間を騙すことはできませんが、とりあえずスクリープトからのログインがだいぶ減ります。