- 締切済み
Linux3.2 サーバーsecure logファイルについて
Linux3.2を見よう見まねで、中古パソコンにセットしてます。 接続環境 パソコン:IBM NETVISTA 回線so-netADSL ルータ Aterm WD701cv DMZ設定 以上の様な内容で、Linux3.2の/var/log/secureログを見ると apacheのトムキャット経由で、次のようなアクセスが、サーバーに頻繁に有るように残りますがこれは正常な状態か?不正な状態か教えていただきたいと思います。初歩的疑問で申し訳ありません。付けてファイアーウオールの勉強はどの辺から行けば良いかもお知らせいただけると助かります。ログの一部です。 Feb 2 06:41:18 anbaii sshd[9604]: error: Could not get shadow information for NOUSER Feb 2 06:41:18 anbaii sshd[9604]: Failed password for invalid user daniel from 221.8.71.36 port 49691 ssh2 Feb 2 06:41:19 anbaii sshd[9607]: Invalid user william from 221.8.71.36 Feb 2 06:41:19 anbaii sshd[9607]: error: Could not get shadow information for NOUSER Feb 2 06:41:19 anbaii sshd[9607]: Failed password for invalid user william from 221.8.71.36 port 49744 ssh2 Feb 2 06:41:20 anbaii sshd[9610]: Invalid user anthony from 221.8.71.36 Feb 2 06:41:20 anbaii sshd[9610]: error: Could not get shadow information for NOUSER Feb 2 06:41:20 anbaii sshd[9610]: Failed password for invalid user anthony from 221.8.71.36 port 49802 ssh2
- kousuke08w
- お礼率0% (0/2)
- その他(ソフトウェア)
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- Wr5
- ベストアンサー率53% (2173/4061)
ふつ~にsshブルートフォースアタック受けているだけに見えますが…。 http://www.google.co.jp/search?hl=ja&q=ssh+%E3%83%96%E3%83%AB%E3%83%BC%E3%83%88%E3%83%95%E3%82%A9%E3%83%BC%E3%82%B9&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja&aq=f&oq= 221.8.71.36はそのときのあなたのサーバのIPなんでしょうか? # 中国に割り当てのIPらしいので違うと思いますが… http://221.8.71.36/ でアクセスしたらApacheのページが表示されるから、「apacheのトムキャット経由で」と言っているのでしょうか? 管理の甘いサーバが乗っ取られて踏み台にされているだけ…かと思われます。 デフォルトページが表示される。って程度の管理の様ですし。 # 乗っ取られた後でセットされた可能性もありますが。 sshブルートフォースに対する対策は…検索すると見つかるでしょう。 ウチでは公開鍵認証とAllowUsersで制限していますが、ログがうるさくなるのでポートを変更しました。
