何はなくともlogwatchとfail2ban
やはりlogwatchとfail2banは必要ですね
sshを使っているとどうしても攻撃されます。ってこんな感じです。
--------------------- pam_unix Begin ------------------------ sshd: Authentication Failures: unknown (122.0.65.143): 622 Time(s) unknown (pool-74-102-31-188.nwrknj.fios.verizon.net): 366 Time(s) root (pool-74-102-31-188.nwrknj.fios.verizon.net): 164 Time(s) backup (pool-74-102-31-188.nwrknj.fios.verizon.net): 90 Time(s) unknown (mail.mindugar.cl): 68 Time(s) root (122.0.65.143): 15 Time(s) root (mail.mindugar.cl): 11 Time(s) Invalid Users: Unknown Account: 1056 Time(s) ---------------------- pam_unix End -------------------------
そんでもってfail2banを入れてみたら
--------------------- fail2ban-messages Begin ------------------------ Banned services with Fail2Ban: Bans:Unbans ssh: [ 35:35 ] 58.64.140.242 19:19 74.102.31.188 (pool-74-102-31-188.nwrknj.fios.verizon.net) 11:11 49.212.3.96 (www20302u.sakura.ne.jp) 2:2 122.0.65.143 2:2 49.212.3.164 (www20370u.sakura.ne.jp) 1:1 ---------------------- fail2ban-messages End -------------------------
なんと!!さくらインターネットの内部からも攻撃されちゃってます。これって、自宅のサーバより大量に攻撃されてます。しかもルータ無しの状態ですからねぇ。気を付けないと大変ですね。
その翌日がこちら。
--------------------- fail2ban-messages Begin ------------------------ Banned services with Fail2Ban: Bans:Unbans ssh: [ 26:25 ] 74.102.31.188 (pool-74-102-31-188.nwrknj.fios.verizon.net) 6:6 113.53.250.75 6:6 49.212.13.89 (www25295u.sakura.ne.jp) 5:5 49.212.3.96 (www20302u.sakura.ne.jp) 2:2 113.53.239.84 (113-53-239-84.totisp.net) 2:2 58.64.140.242 2:1 49.212.0.215 (www19177u.sakura.ne.jp) 1:1 77.232.134.134 (77-232-134-134.bks-tv.ru) 1:1 211.138.208.191 1:1 ---------------------- fail2ban-messages End -------------------------
またまた、さくらさんの仲間が遊びに来てくれました。
キーワード:
参照:[本日のメニュー]