人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

webminのログのauthを見たらsshでのパスワードアタックがされているようなログを見つけました

Jul 23 19:08:54 www sshd[23197]: Illegal user telnetd from 218.247.205.132
Jul 23 19:08:58 www sshd[23213]: Illegal user identd from 218.247.205.132
Jul 23 19:09:00 www sshd[23225]: Illegal user gnats from 218.247.205.132
Jul 23 19:09:03 www sshd[23237]: Illegal user jeff from 218.247.205.132
Jul 23 19:09:06 www sshd[23248]: Illegal user irc from 218.247.205.132
Jul 23 19:09:09 www sshd[23261]: Illegal user list from 218.247.205.132
Jul 23 19:09:12 www sshd[23277]: Illegal user eleve from 218.247.205.132

userを毎回変えてはアクセスしているみたいですがsshでのアクセスは禁止しているはずですのでおおよそ無理なはずです。ただ同じIPからのアクセスが多いので特定のIPからのアクセスを無視するにはどうしたらいいのでしょうか?wwwに対するアクセスではなく全サーバーに対するアクセスを無視する方法です。

よろしくお願いします。

●質問者: esecua
●カテゴリ:コンピュータ インターネット
✍キーワード:00 23 iRC SSH USER
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● JULY
●35ポイント

ssh に対するブルート・フォース・アタック(適当なアカウント、パスワードを機械的に送りつけて接続を試みる)は、もはや日常になっています。ssh のポートに反応があると、1時間でも2時間でも、接続を試し続けます。

「同じ IP からのアクセスが多い」というのは、この1時間なり2時間なりのブルート・フォース・アタック中は同じ IP アドレスというだけで、ブルート・フォース・アタックを仕掛けてくる相手はたくさんいますので、ログで発見した IP アドレスからのアクセスをブロックしたところで、別の IP から同様のアタックを受けると思います。

JULYの日記 - 残念でした パート2

上記 URL は、私が自宅サーバで同様のアタックを受けたときの対処方法です。Vine Linux の 3.2 で実践しています。基本は、同じ IP から短時間に何度も接続してきたらブロックする、というものです。

◎質問者からの返答

ありがとうございます。

iptables で落とす方法なのですが、難しすぎてできません。もしよろしければ実行方法など細かくお教えいただければと思います。

よろしくお願いいたします。


2 ● JULY
●35ポイント

えーと、先の回答のリンク先にある内容をそのままコピー&ペーストでテキストファイルを作ります。仮に今作ったファイルのファイル名を abc という名だとしたら、root でログインした状態で、

# chmod a+x abc

# ./abc

とすれば、iptables に設定されます。この設定が再起動時にも反映されるように、

# service iptables save

とすればお終いです。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ