webminのログのauthを見たらsshでのパスワードアタックがされているようなログを見つけました


Jul 23 19:08:54 www sshd[23197]: Illegal user telnetd from 218.247.205.132
Jul 23 19:08:58 www sshd[23213]: Illegal user identd from 218.247.205.132
Jul 23 19:09:00 www sshd[23225]: Illegal user gnats from 218.247.205.132
Jul 23 19:09:03 www sshd[23237]: Illegal user jeff from 218.247.205.132
Jul 23 19:09:06 www sshd[23248]: Illegal user irc from 218.247.205.132
Jul 23 19:09:09 www sshd[23261]: Illegal user list from 218.247.205.132
Jul 23 19:09:12 www sshd[23277]: Illegal user eleve from 218.247.205.132

userを毎回変えてはアクセスしているみたいですがsshでのアクセスは禁止しているはずですのでおおよそ無理なはずです。ただ同じIPからのアクセスが多いので特定のIPからのアクセスを無視するにはどうしたらいいのでしょうか?wwwに対するアクセスではなく全サーバーに対するアクセスを無視する方法です。

よろしくお願いします。

回答の条件
  • 1人3回まで
  • 登録:2006/07/25 15:03:05
  • 終了:2006/08/01 15:05:02

回答(2件)

id:JULY No.1

JULY回答回数966ベストアンサー獲得回数2472006/07/25 15:21:01

ポイント35pt

ssh に対するブルート・フォース・アタック(適当なアカウント、パスワードを機械的に送りつけて接続を試みる)は、もはや日常になっています。ssh のポートに反応があると、1時間でも2時間でも、接続を試し続けます。

「同じ IP からのアクセスが多い」というのは、この1時間なり2時間なりのブルート・フォース・アタック中は同じ IP アドレスというだけで、ブルート・フォース・アタックを仕掛けてくる相手はたくさんいますので、ログで発見した IP アドレスからのアクセスをブロックしたところで、別の IP から同様のアタックを受けると思います。

JULYの日記 - 残念でした パート2

上記 URL は、私が自宅サーバで同様のアタックを受けたときの対処方法です。Vine Linux の 3.2 で実践しています。基本は、同じ IP から短時間に何度も接続してきたらブロックする、というものです。

id:esecua

ありがとうございます。

iptables で落とす方法なのですが、難しすぎてできません。もしよろしければ実行方法など細かくお教えいただければと思います。

よろしくお願いいたします。

2006/07/29 14:09:48
id:JULY No.2

JULY回答回数966ベストアンサー獲得回数2472006/07/29 20:27:43

ポイント35pt

えーと、先の回答のリンク先にある内容をそのままコピー&ペーストでテキストファイルを作ります。仮に今作ったファイルのファイル名を abc という名だとしたら、root でログインした状態で、

# chmod a+x abc

# ./abc

とすれば、iptables に設定されます。この設定が再起動時にも反映されるように、

# service iptables save

とすればお終いです。

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません