1 2 3 4 5 |
$ su - パスワード: 最終ログイン: 2020/05/28 (木) 17:33:23 JST日時 pts/1 最後の失敗ログイン: 2020/05/28 (木) 17:39:43 JST 116.83.87.34.bc.googleusercontent.comから開始日時 ssh:notty 最後の正しいログインの後に 4 回の失敗ログインの試行があります |
知らないホストから多数のSSH失敗ログインが表示されて驚きました。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
# lastb | more root ssh:notty 41.223.4.155 Thu May 28 17:45 - 17:45 (00:00) admin ssh:notty 180.167.195.167 Thu May 28 17:44 - 17:44 (00:00) admin ssh:notty 180.167.195.167 Thu May 28 17:44 - 17:44 (00:00) root ssh:notty 116.83.87.34.bc. Thu May 28 17:43 - 17:43 (00:00) patalano ssh:notty 123.30.149.76 Thu May 28 17:43 - 17:43 (00:00) patalano ssh:notty 123.30.149.76 Thu May 28 17:43 - 17:43 (00:00) root ssh:notty 223.171.46.146 Thu May 28 17:43 - 17:43 (00:00) admin ssh:notty 36.92.174.133 Thu May 28 17:43 - 17:43 (00:00) admin ssh:notty 36.92.174.133 Thu May 28 17:43 - 17:43 (00:00) root ssh:notty 49.235.97.29 Thu May 28 17:41 - 17:41 (00:00) pafilis ssh:notty 41.223.4.155 Thu May 28 17:41 - 17:41 (00:00) pafilis ssh:notty 41.223.4.155 Thu May 28 17:41 - 17:41 (00:00) ftpd ssh:notty 180.167.195.167 Thu May 28 17:41 - 17:41 (00:00) ftpd ssh:notty 180.167.195.167 Thu May 28 17:41 - 17:41 (00:00) root ssh:notty 116.83.87.34.bc. Thu May 28 17:39 - 17:39 (00:00) test ssh:notty 123.30.149.76 Thu May 28 17:39 - 17:39 (00:00) test ssh:notty 123.30.149.76 Thu May 28 17:39 - 17:39 (00:00) office ssh:notty 223.171.46.146 Thu May 28 17:38 - 17:38 (00:00) office ssh:notty 223.171.46.146 Thu May 28 17:38 - 17:38 (00:00) named ssh:notty 36.92.174.133 Thu May 28 17:38 - 17:38 (00:00) root ssh:notty 41.223.4.155 Thu May 28 17:37 - 17:37 (00:00) shane ssh:notty 49.235.97.29 Thu May 28 17:37 - 17:37 (00:00) shane ssh:notty 49.235.97.29 Thu May 28 17:37 - 17:37 (00:00) |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 |
# lastb | awk '{print $1}' | sort | uniq -c | sort -nr | head -50 6613 root 986 admin 732 test 502 user 496 ubuntu 466 postgres 394 deploy 184 oracle 126 nagios 118 guest 114 git 98 hadoop 98 ftpuser 76 teamspea 72 backup 70 server 68 develope 60 ts3 60 tomcat 60 dev 58 www-data 58 mysql 56 www 56 administ 54 minecraf 52 web 52 demo 48 ubnt 48 system 48 student 46 upload 44 user2 44 support 42 debian 40 jenkins 38 testuser 38 info 36 hduser 35 ftp 34 vnc 34 userftp 32 tester 32 redmine 32 cssserve 30 user1 30 tom 30 test1 30 odoo 30 cacti 30 bot |
当然ボットで試行しているんだろうけど安易なユーザ名、パスワードを付与してはいけませんね。hosts.deny hosts.allowの設定で回避しようと思います。
コメント