ファイル転送のためにsshのポートを空けてるんだけど、ハッキングを頑張ろうとしているらしく、結構長いログがべらべらとでる。
Failed logins from: 58.60.106.110: 3 times 61.129.60.23: 30 times 68.68.99.171 (68-68-99-171.rashost.com): 2 times 200.241.61.130: 1 time 219.93.187.38 (mail.myqnetcom.com): 701 times Illegal users from: 200.241.61.130: 3 times 219.93.187.38 (mail.myqnetcom.com): 1033 times Received disconnect: 11: Bye Bye : 1782 Time(s)
鬱陶しいことこの上ないのでswatchを利用して3回以上ログイン失敗したらロックするようにしてみた。
参考にしたのはCentOSで自宅サーバ構築っていうページ。
うちのサーバはあまりサービスが動作していないのでsecureログに記載された内容からInvalid user ユーザ名 from xxx.xxx.xxx.xxxって形式でログが出力されたときにxxx.xxx.xxx.xxxからの接続を24時間受け付けないようにする設定だけをしてみた。
制限にはatコマンドを利用しているらしく、解除するときはatqなどでatのqueueを確認し、手動で削除する必要がある感じ。
まぁ、解除するようなことはまず無いだろうから問題なし。
と、設定していると早速引っかかったお馬鹿さんが・・・。
引っかかると↓のようなメールが来るのですぐわかる。。
Oct 5 19:29:16 edge sshd[15339]: Invalid user fluffy from 201.3.74.98 Oct 5 19:29:21 edge sshd[15366]: Invalid user admin from 201.3.74.98 Oct 5 19:29:26 edge sshd[15395]: Invalid user test from 201.3.74.98 [Querying whois.lacnic.net] [Unable to connect to remote host]
コメント