何はなくともlogwatchとfail2ban
やはりlogwatchとfail2banは必要ですね
sshを使っているとどうしても攻撃されます。ってこんな感じです。
--------------------- pam_unix Begin ------------------------
sshd:
Authentication Failures:
unknown (122.0.65.143): 622 Time(s)
unknown (pool-74-102-31-188.nwrknj.fios.verizon.net): 366 Time(s)
root (pool-74-102-31-188.nwrknj.fios.verizon.net): 164 Time(s)
backup (pool-74-102-31-188.nwrknj.fios.verizon.net): 90 Time(s)
unknown (mail.mindugar.cl): 68 Time(s)
root (122.0.65.143): 15 Time(s)
root (mail.mindugar.cl): 11 Time(s)
Invalid Users:
Unknown Account: 1056 Time(s)
---------------------- pam_unix End -------------------------
そんでもってfail2banを入れてみたら
--------------------- fail2ban-messages Begin ------------------------
Banned services with Fail2Ban: Bans:Unbans
ssh: [ 35:35 ]
58.64.140.242 19:19
74.102.31.188 (pool-74-102-31-188.nwrknj.fios.verizon.net) 11:11
49.212.3.96 (www20302u.sakura.ne.jp) 2:2
122.0.65.143 2:2
49.212.3.164 (www20370u.sakura.ne.jp) 1:1
---------------------- fail2ban-messages End -------------------------
なんと!!さくらインターネットの内部からも攻撃されちゃってます。これって、自宅のサーバより大量に攻撃されてます。しかもルータ無しの状態ですからねぇ。気を付けないと大変ですね。
その翌日がこちら。
--------------------- fail2ban-messages Begin ------------------------
Banned services with Fail2Ban: Bans:Unbans
ssh: [ 26:25 ]
74.102.31.188 (pool-74-102-31-188.nwrknj.fios.verizon.net) 6:6
113.53.250.75 6:6
49.212.13.89 (www25295u.sakura.ne.jp) 5:5
49.212.3.96 (www20302u.sakura.ne.jp) 2:2
113.53.239.84 (113-53-239-84.totisp.net) 2:2
58.64.140.242 2:1
49.212.0.215 (www19177u.sakura.ne.jp) 1:1
77.232.134.134 (77-232-134-134.bks-tv.ru) 1:1
211.138.208.191 1:1
---------------------- fail2ban-messages End -------------------------
またまた、さくらさんの仲間が遊びに来てくれました。
キーワード:
参照:[本日のメニュー]