- ベストアンサー
リナックスで攻撃?されているログ
勉強用に立ち上げたサーバーの/var/log/secureに下のようなメッセージがぶわ~っと出力されていたんですが、 これは攻撃を受けていると見てよいのでしょうか? 一つ一つポートをかえてきているようで、とはいってもたまたまヒットしてもパスワードまでは分からないと思うのですが、 何となく不気味です。。。 67427 Feb 4 23:47:22 username sshd[3466]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=217-168-44-137.static.cablecom.ch user=root 67428 Feb 4 23:47:25 username sshd[3466]: Failed password for root from 217.168.44.137 port 41281 ssh2 67429 Feb 4 23:47:25 username sshd[3467]: Received disconnect from 217.168.44.137: 11: Bye Bye 67430 Feb 4 23:47:27 username sshd[3468]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=217-168-44-137.static.cablecom.ch user=root 67431 Feb 4 23:47:29 username sshd[3468]: Failed password for root from 217.168.44.137 port 41641 ssh2 67432 Feb 4 23:47:29 username sshd[3469]: Received disconnect from 217.168.44.137: 11: Bye Bye 知識のある方ご教授いただければと思います。
- guttten
- お礼率49% (247/495)
- Linux系OS
- 回答数3
- ありがとう数3
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
はい。 「SSH ブルートフォースアタック」です。 >一つ一つポートをかえてきているようで 接続元のポート番号は、ふつうはランダムです。 ので、この場合はたいした意味はありません。 >とはいってもたまたまヒットしてもパスワードまでは分からないと思うのですが、 パスワード認証の設定であれば、悪くすると突破される可能性があります。 認証に使用しようとしているーザー名は Failed password for 【root】 from ~です。 ログに記録されているモノを抽出してみると、いろいろなユーザー名で試行されていることがわかるでしょう。 その中に、存在するアカウントがあったら… ・接続可能なユーザーを制限する。=>AllowUsersやAllowGroups ・公開鍵認証に変更する。 ・待ち受けポートを非標準ポートに変更する。 などの対応があります。 ポート変えちゃうのが、不要なログも減っていいかと思います。
その他の回答 (2)
- astronaut
- ベストアンサー率58% (303/516)
パスワードによるログインを無効にするなどによってほぼ無害となるのは既出。でも、アタック自体を弾ける訳ではないので、ログが膨れあがるなど鬱陶しいものです。 ブルートフォースアタックを察知して、iptablesによってアタック元のIPアドレスからのアクセスをブロックするツールがあるので、利用すると良いですよ。 私は、その名も blocksshd を使っています。
- hanabutako
- ベストアンサー率54% (492/895)
sshで接続してrootのパスワードを虱潰しに調べようとしているんでしょうね。 sshを最新のバージョンにあげてあり、sshの設定としてrootのログインを禁止していたら全く問題ない攻撃です。また、root以外の実在ユーザーのパスワードを狙ってくるログを見つけたら、RSA認証しかログイン出来ないようにするなどの対策をしておけば問題ないです。 まぁ、sshを外部に提供しているマシンだと一日一回以上はこういうログが出ますね。 あまりにも当たり前に出るようになってむしろ慣れてしまうくらいです。
関連するQ&A
- /var/log/secureの時間表記について
fedora8を使って、/var/log/secureで分からないことがあります。 Jun 1 19:19:06 localhost sshd[19307]: Invalid user stud from 219.94.169.111 Jun 1 10:19:06 localhost sshd[19308]: input_userauth_request: invalid user stud Jun 1 19:19:06 localhost sshd[19307]: pam_unix(sshd:auth): check pass; user unknown Jun 1 19:19:09 localhost sshd[19307]: Failed password for invalid user stud from 219.94.169.111 port 60107 ssh2 Jun 1 10:19:09 localhost sshd[19308]: Received disconnect from 219.94.169.111: 11: Bye Bye 上記のログで、なぜ一部の時間が9時間狂ってしまうのかがわかりません。原因がわかる方、ぜひ回答をお願いします。
- ベストアンサー
- ネットワーク
- rootでのsshログインを許可したいのですが、何故か出来ません。
rootでのsshログインを許可したいのですが、何故か出来ません。 sshサーバ環境 CentOS release 5.5 (Final) OpenSSH_4.3p2 sshサーバの「/etc/ssh/sshd_config」の内容は以下の通りです。 #「/etc/ssh/sshd_config」 Protocol 2,1 ListenAddress 0.0.0.0 SyslogFacility AUTHPRIV PermitRootLogin yes RSAAuthentication yes PubkeyAuthentication yes IgnoreRhosts yes PermitEmptyPasswords no PasswordAuthentication yes ChallengeResponseAuthentication no GSSAPIAuthentication yes GSSAPICleanupCredentials yes UsePAM yes AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL X11Forwarding yes Subsystem sftp /usr/libexec/openssh/sftp-server #---------- なお、その他の項目はコメントアウトされています。 調べてみますと「PermitRootLogin」をyesにしてsshdを再起動(/etc/rc.d/init.d/sshd restart)すれば良いとありますが、それでもrootでsshログインが出来ません。なお、一般ユーザではsshでログイン可能です。 sshdサーバでの「/var/log/secure」では、以下のようにあります。 Aug 27 16:52:22 hogehoge sshd[2543]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.com user=root Aug 27 16:52:25 hogehoge sshd[2543]: Failed password for root from xxx.xxx.xxx.xxx port 37192 ssh2 原因として何が考えられますでしょうか。
- 締切済み
- Linux系OS
- vine linux4.2でサーバーを立てているのですが、少々問題が起
vine linux4.2でサーバーを立てているのですが、少々問題が起こりました。 一部のユーザー(hoge)だけがrootになれるよう以下のように設定をしました。 /etc/login.defs SU_WHEEL_ONLY yes /etc/group wheel:x:10:root,hoge /etc/pam.d/su auth required /lib/security/pam_wheel.xo use_uidの#を削除しております。 ある一定の期間までは、この状態で $su - と入力してrootのパスワードを入力すると一般のユーザからrootにすることができました。 ですが、数カ月たってから、 $su - と入力してrootのパスワードを入力すると su: パスワードが違います と出ます。 secureのログを見ると以下の内容が出ます。 (1)はroot から hogeへ 成功 (2)はhoge から rootへ 失敗 (1)Apr 3 14:07:54 sv su: pam_unix(su:session): session opened for user hoge by root(uid=0) (2)Apr 3 14:07:59 sv su: pam_unix(su:auth): authentication failure; logname=root uid=500 euid=500 tty=pts/0 ruser=hoge rhost= user=root また、再起動をしてrootで入ることは可能です。 rootから #su - hoge と入力して hoge に入ることも可能ですが、 逆の場合が不可能です。 以下の方法は何も設定せずにやってみました 一般ユーザーから一般ユーザーへの移動も パスワードが違います とでます。 何か解決策はございませんでしょうか。 今の状態ですと、Tera Termを使ってSSHでの接続は可能ですが、rootになれないためユーザーの追加などがサーバーで操作しなければならない状態です。 よろしくお願いします。
- 締切済み
- ハードウェア・サーバー
- Linux3.2 サーバーsecure logファイルについて
Linux3.2を見よう見まねで、中古パソコンにセットしてます。 接続環境 パソコン:IBM NETVISTA 回線so-netADSL ルータ Aterm WD701cv DMZ設定 以上の様な内容で、Linux3.2の/var/log/secureログを見ると apacheのトムキャット経由で、次のようなアクセスが、サーバーに頻繁に有るように残りますがこれは正常な状態か?不正な状態か教えていただきたいと思います。初歩的疑問で申し訳ありません。付けてファイアーウオールの勉強はどの辺から行けば良いかもお知らせいただけると助かります。ログの一部です。 Feb 2 06:41:18 anbaii sshd[9604]: error: Could not get shadow information for NOUSER Feb 2 06:41:18 anbaii sshd[9604]: Failed password for invalid user daniel from 221.8.71.36 port 49691 ssh2 Feb 2 06:41:19 anbaii sshd[9607]: Invalid user william from 221.8.71.36 Feb 2 06:41:19 anbaii sshd[9607]: error: Could not get shadow information for NOUSER Feb 2 06:41:19 anbaii sshd[9607]: Failed password for invalid user william from 221.8.71.36 port 49744 ssh2 Feb 2 06:41:20 anbaii sshd[9610]: Invalid user anthony from 221.8.71.36 Feb 2 06:41:20 anbaii sshd[9610]: error: Could not get shadow information for NOUSER Feb 2 06:41:20 anbaii sshd[9610]: Failed password for invalid user anthony from 221.8.71.36 port 49802 ssh2
- 締切済み
- その他(ソフトウェア)
- 一般ユーザーからrootにできない
vine linux4.2でサーバーを立てているのですが、少々問題が起こりました。 一部のユーザー(hoge)だけがrootになれるよう以下のように設定をしました。 /etc/login.defs SU_WHEEL_ONLY yes /etc/group wheel:x:10:root,hoge /etc/pam.d/su auth required /lib/security/pam_wheel.xo use_uidの#を削除しております。 ある一定の期間までは、この状態で $su - と入力してrootのパスワードを入力すると一般のユーザからrootにすることができました。 ですが、数カ月たってから、 $su - と入力してrootのパスワードを入力すると su: パスワードが違います と出ます。 secureのログを見ると以下の内容が出ます。 (1)はroot から hogeへ 成功 (2)はhoge から rootへ 失敗 (1)Apr 3 14:07:54 sv su: pam_unix(su:session): session opened for user hoge by root(uid=0) (2)Apr 3 14:07:59 sv su: pam_unix(su:auth): authentication failure; logname=root uid=500 euid=500 tty=pts/0 ruser=hoge rhost= user=root また、再起動をしてrootで入ることは可能です。 rootから #su - hoge と入力して hoge に入ることも可能ですが、 逆の場合が不可能です。 以下の方法は何も設定せずにやってみました 一般ユーザーから一般ユーザーへの移動も パスワードが違います とでます。 何か解決策はございませんでしょうか。 今の状態ですと、Tera Termを使ってSSHでの接続は可能ですが、rootになれないためユーザーの追加などがサーバーで操作しなければならない状態です。 よろしくお願いします。
- ベストアンサー
- ハードウェア・サーバー
- 玄箱proでssh接続でパスワードでの接続ができてしまう
こんにちは、いつも活用させていただいております、 日高@愛知と申します。 標記の通り、 玄箱proで自宅サーバーを debianで 初心者という立場で 徐々に組上げております。 sshサーバーで /var/ssh/sshd_config を # Change to yes to enable tunnelled clear text passwords PasswordAuthentication no としておりますが、 パスワードで接続できてしまいます。 ログを見ると Oct 26 08:31:47 hackkit sshd[3362]: Accepted keyboard-interactive/pam for Hoge from 192.168.1.17 port 1544 ssh2 Oct 26 08:31:47 hackkit sshd[3366]: (pam_unix) session opened for user hoge by (uid=0) Oct 26 08:31:52 hackkit su[3372]: + pts/0 hoge:root Oct 26 08:31:52 hackkit su[3372]: (pam_unix) session opened for user root by hoge(uid=1001) が、関係分だと思われます。 何か勘違いを僕がしていると思いますが、 ご指摘いただけますでしょうか? よろしくお願いします。
- ベストアンサー
- その他(ソフトウェア)
- webminについて
【インストール環境】 ・VMware-Server1.0.7 ・OS:CentOS5.2 【詳細】 サイト等をみながら、 yumコマンドにてwebminをインストールしました。 どうやらListenポートが開いてるのですが・・・ WebminのGUI画面(http://192.168.163.128:10000)が表示しません、ログをみてもわからないです。 原因について調査してますが、お力をお貸しいただきたいです。 情報としてログを下記に記載します。 【ログ】 [root@localhost pam.d]# grep 10000 /etc/services webmin 10000/tcp webmin 10000/udp [root@localhost pam.d]# ifconfig eth0 Link encap:Ethernet HWaddr 00:0C:29:E9:DD:1F inet addr:192.168.163.128 Bcast:192.168.163.255 Mask:255.255.255.0 [root@localhost ~]# netstat -a | head -n 30 Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 *:webmin *:* LISTEN udp 0 0 *:webmin *:* [root@localhost ~]# tail /var/log/secure Sep 23 14:56:56 localhost perl: pam_unix(webmin:auth): authentication failure; logname=root uid=0 euid=0 tty= ruser= rhost= user=root Sep 23 14:56:58 localhost webmin[3350]: Webmin starting
- 締切済み
- その他(ITシステム運用・管理)
- linuxコマンド(時間の抽出について)
ログに時間が記載されています。 現在時刻から5分以内のものをgrep等のコマンドを利用し抽出することは可能でしょうか? (シェルを利用する形になりますか?) よろしくお願いします。 例:secure_log May 30 20:41:14 linux sshd[26963]: Received disconnect from 10.0.0.1: 2: disconnected by server request May 30 20:51:40 linux sshd[27001]: Accepted password for linux from 10.0.0.1 port 3579 ssh2 May 30 20:53:42 linux sshd[27003]: Received disconnect from 10.0.0.1: 2: disconnected by server request May 31 08:39:10 linux sshd[27501]: Accepted password for linux from 10.32.27.98 port 1099 ss h2
- ベストアンサー
- Linux系OS
- メールサーバのログにConnection reset by peerとあったのですが、何が起こったのでしょうか。
RHL9.0でpostfixを用いてメールサーバーを運営しています。特に何もユーザー情報をいじったわけでもないのにユーザーtaroが急にログインできなくなりました。もちろん、taroもそれまで用いていたパスワードを使用しています。ログには以下のように認証で拒絶されている旨あったのですが、これまで、見たことのないConnection reset by peerという一文があります。 この"peer"とはどのような働きをするものでしょうか。また、今回のような問題で何か考えられる原因がありますでしょうか。 Jul 14 13:27:22 orion pop(pam_unix)[14964]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=taro Jul 14 13:27:24 orion ipop3d[14964]: Login failed user=taro auth=taro host=[xxx.xxx.xxx.xxx] Jul 14 13:27:27 orion ipop3d[14964]: Connection reset by peer while reading line user=taro host=[xxx.xxx.xxx.xxx]
- 締切済み
- Linux系OS
お礼
なるほど、変わってるポートは相手のですね^^; 焦って勘違いしました。。お恥ずかしい。 公開鍵認証は一度だけ教えてもらってやった事があるのですが、 余り理解せずやってしまったので設定の仕方を忘れてしまい、 今はパスワード認証なんですよね。。怖いですねぇ。 ログもうっとおしいので待ち受けポートを標準じゃないのにするのは、 いいかもしれません。ありがとうございました!