VPSのSSH不正アクセス

$ su -
パスワード:
最終ログイン: 2020/05/28 (木) 17:33:23 JST日時 pts/1
最後の失敗ログイン: 2020/05/28 (木) 17:39:43 JST 116.83.87.34.bc.googleusercontent.comから開始日時 ssh:notty
最後の正しいログインの後に 4 回の失敗ログインの試行があります

知らないホストから多数のSSH失敗ログインが表示されて驚きました。

# lastb | more
root     ssh:notty    41.223.4.155     Thu May 28 17:45 - 17:45  (00:00)
admin    ssh:notty    180.167.195.167  Thu May 28 17:44 - 17:44  (00:00)
admin    ssh:notty    180.167.195.167  Thu May 28 17:44 - 17:44  (00:00)
root     ssh:notty    116.83.87.34.bc. Thu May 28 17:43 - 17:43  (00:00)
patalano ssh:notty    123.30.149.76    Thu May 28 17:43 - 17:43  (00:00)
patalano ssh:notty    123.30.149.76    Thu May 28 17:43 - 17:43  (00:00)
root     ssh:notty    223.171.46.146   Thu May 28 17:43 - 17:43  (00:00)
admin    ssh:notty    36.92.174.133    Thu May 28 17:43 - 17:43  (00:00)
admin    ssh:notty    36.92.174.133    Thu May 28 17:43 - 17:43  (00:00)
root     ssh:notty    49.235.97.29     Thu May 28 17:41 - 17:41  (00:00)
pafilis  ssh:notty    41.223.4.155     Thu May 28 17:41 - 17:41  (00:00)
pafilis  ssh:notty    41.223.4.155     Thu May 28 17:41 - 17:41  (00:00)
ftpd     ssh:notty    180.167.195.167  Thu May 28 17:41 - 17:41  (00:00)
ftpd     ssh:notty    180.167.195.167  Thu May 28 17:41 - 17:41  (00:00)
root     ssh:notty    116.83.87.34.bc. Thu May 28 17:39 - 17:39  (00:00)
test     ssh:notty    123.30.149.76    Thu May 28 17:39 - 17:39  (00:00)
test     ssh:notty    123.30.149.76    Thu May 28 17:39 - 17:39  (00:00)
office   ssh:notty    223.171.46.146   Thu May 28 17:38 - 17:38  (00:00)
office   ssh:notty    223.171.46.146   Thu May 28 17:38 - 17:38  (00:00)
named    ssh:notty    36.92.174.133    Thu May 28 17:38 - 17:38  (00:00)
root     ssh:notty    41.223.4.155     Thu May 28 17:37 - 17:37  (00:00)
shane    ssh:notty    49.235.97.29     Thu May 28 17:37 - 17:37  (00:00)
shane    ssh:notty    49.235.97.29     Thu May 28 17:37 - 17:37  (00:00)

 

# lastb | awk '{print $1}' | sort | uniq -c | sort -nr | head -50
   6613 root
    986 admin
    732 test
    502 user
    496 ubuntu
    466 postgres
    394 deploy
    184 oracle
    126 nagios
    118 guest
    114 git
     98 hadoop
     98 ftpuser
     76 teamspea
     72 backup
     70 server
     68 develope
     60 ts3
     60 tomcat
     60 dev
     58 www-data
     58 mysql
     56 www
     56 administ
     54 minecraf
     52 web
     52 demo
     48 ubnt
     48 system
     48 student
     46 upload
     44 user2
     44 support
     42 debian
     40 jenkins
     38 testuser
     38 info
     36 hduser
     35 ftp
     34 vnc
     34 userftp
     32 tester
     32 redmine
     32 cssserve
     30 user1
     30 tom
     30 test1
     30 odoo
     30 cacti
     30 bot

当然ボットで試行しているんだろうけど安易なユーザ名、パスワードを付与してはいけませんね。hosts.deny hosts.allowの設定で回避しようと思います。

コメント