誰かが私のVPSに接続しようとしていますか?

誰かが私のVPSに接続しようとしていますか?

VPS(Debian 9)ホストでOVHを介してコマンドを実行すると、journalctl -xe接続試行が複数回表示されます。これは正常ですか?

以下はログの一部です。

-- Logs begin at Mon 2019-04-08 22:51:43 CEST, end at Tue 2019-04-09 09:31:32 CE
ST. --
Apr 09 08:01:49 vps668970 sshd[4559]: Disconnected from 173.249.50.217 port 4333
8 [preauth]
Apr 09 08:02:21 vps668970 sshd[4561]: pam_unix(sshd:auth): authenticatio
n failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.249.50.217  user=root

Apr 09 08:02:23 vps668970 sshd[4561]: Failed password for root from 173.249.50.2
17 port 34630 ssh2
Apr 09 08:02:23 vps668970 sshd[4561]: Received disconnect from 173.249.50.217 po
rt 34630:11: Normal Shutdown, Thank you for playing [preauth]
Apr 09 08:02:23 vps668970 sshd[4561]: Disconnected from 173.249.50.217 port 3463
0 [preauth]
Apr 09 08:02:54 vps668970 sshd[4563]: pam_unix(sshd:auth): authenticatio
n failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.249.50.217  user=root

Apr 09 08:02:56 vps668970 sshd[4563]: Failed password for root from 173.249.50.2
17 port 54154 ssh2
Apr 09 08:02:56 vps668970 sshd[4563]: Received disconnect from 173.249.50.217 po
rt 54154:11: Normal Shutdown, Thank you for playing [preauth]
Apr 09 08:02:56 vps668970 sshd[4563]: Disconnected from 173.249.50.217 port 5415
4 [preauth]
Apr 09 08:03:23 vps668970 kernel: [UFW BLOCK] IN=ens3 OUT= MAC=fa:16:3e:

答え1

はい、これは正常です。

次の興味深いシマンテックの記事を読んでください。悪意のあるSSHログイン試行分析」。


4月1日以降、私のサーバーで発生したログインに失敗した回数と上位20のアカウント名は次のとおりです。

   2919 root
    194 admin
    122 test
     83 zabbix
     67 user
     66 ftpuser
     65 postgres
     60 mysql
     58 nagios
     49 ubuntu
     44 www-data
     43 pi
     42 support
     42 oracle
     39 jboss
     36 guest
     34 usuario
     33 tomcat
     32 dell
     30 www
  • 2182の異なるアカウント名を使用して合計9872回の試行が行われました。
  • 毎分0.8回試みた。

rootSSHログインが無効になり、残りのすべてのアカウント名が存在しないか、シェルとして機能しませ/usr/sbin/nologinん。/bin/falseだから心配することはありません。

fail2ban可能なすべての試みを減らすためにインストールしてみましたが、試みはfail2banIPアドレスの多いボットネットから来て、IPアドレスで動作するためうまく動作しません。

試行回数を減らす次の可能なオプションは、ポートを変更することですssh


この情報を収集するためのコマンド:

grep -ho 'Failed password for .*' /var/log/auth.log{,.1} \
  | awk '{if ($4=="invalid") { print $6 } else { print $4 } }' \
  | sort | uniq -c | sort -nr | head -n20

関連情報