自宅サーバに総当たり

自宅サーバとして利用しているQNAP TS-109IIのLEDが、たまにものすごい勢いで点滅していて、気になりつつそのまま放置しおいたのだけれども、ひょんなことから原因がわかった。
外部からsshdに対する総当たり攻撃だった。

  1. なんかまた点滅してるよ
  2. どれみてみるか → sshでログインしてtopコマンド
  3. ん?自分以外にもrootユーザとsshdユーザ用のsshdがあるぞ
  4. netstat -all  → あやしげなIPからsshdにESTABLISHED
  5. まさか侵入されてる?とりあえずログだログ → grep ssh /var/log/*.log
  6. 総当たりされてる!!

……
/var/log/auth.log:Mar 25 00:44:36 hoge sshd[13208]: Invalid user wh from xxx.xxx.xxx.xxx
/var/log/auth.log:Mar 25 00:44:37 hoge sshd[13210]: Invalid user wg from xxx.xxx.xxx.xxx
/var/log/auth.log:Mar 25 00:44:39 hoge sshd[13212]: Invalid user wn from xxx.xxx.xxx.xxx
……

こんなログが延々と続いてた。

パスワード認証はOFFにしてたのでとりあえずは問題なさそう。
だけど気持ち悪いので、ファイヤウォールでsshアクセスをデフォルト拒否、指定アドレスのみ許可の設定にしておいた。

サーバを目につく位置に置いといたのが意外と役に立った。

コメントを残す

メールアドレスが公開されることはありません。