VPS(Debian 9)ホストでOVHを介してコマンドを実行すると、journalctl -xe
接続試行が複数回表示されます。これは正常ですか?
以下はログの一部です。
-- Logs begin at Mon 2019-04-08 22:51:43 CEST, end at Tue 2019-04-09 09:31:32 CE
ST. --
Apr 09 08:01:49 vps668970 sshd[4559]: Disconnected from 173.249.50.217 port 4333
8 [preauth]
Apr 09 08:02:21 vps668970 sshd[4561]: pam_unix(sshd:auth): authenticatio
n failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.249.50.217 user=root
Apr 09 08:02:23 vps668970 sshd[4561]: Failed password for root from 173.249.50.2
17 port 34630 ssh2
Apr 09 08:02:23 vps668970 sshd[4561]: Received disconnect from 173.249.50.217 po
rt 34630:11: Normal Shutdown, Thank you for playing [preauth]
Apr 09 08:02:23 vps668970 sshd[4561]: Disconnected from 173.249.50.217 port 3463
0 [preauth]
Apr 09 08:02:54 vps668970 sshd[4563]: pam_unix(sshd:auth): authenticatio
n failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.249.50.217 user=root
Apr 09 08:02:56 vps668970 sshd[4563]: Failed password for root from 173.249.50.2
17 port 54154 ssh2
Apr 09 08:02:56 vps668970 sshd[4563]: Received disconnect from 173.249.50.217 po
rt 54154:11: Normal Shutdown, Thank you for playing [preauth]
Apr 09 08:02:56 vps668970 sshd[4563]: Disconnected from 173.249.50.217 port 5415
4 [preauth]
Apr 09 08:03:23 vps668970 kernel: [UFW BLOCK] IN=ens3 OUT= MAC=fa:16:3e:
答え1
はい、これは正常です。
次の興味深いシマンテックの記事を読んでください。悪意のあるSSHログイン試行分析」。
4月1日以降、私のサーバーで発生したログインに失敗した回数と上位20のアカウント名は次のとおりです。
2919 root
194 admin
122 test
83 zabbix
67 user
66 ftpuser
65 postgres
60 mysql
58 nagios
49 ubuntu
44 www-data
43 pi
42 support
42 oracle
39 jboss
36 guest
34 usuario
33 tomcat
32 dell
30 www
- 2182の異なるアカウント名を使用して合計9872回の試行が行われました。
- 毎分0.8回試みた。
root
SSHログインが無効になり、残りのすべてのアカウント名が存在しないか、シェルとして機能しませ/usr/sbin/nologin
ん。/bin/false
だから心配することはありません。
fail2ban
可能なすべての試みを減らすためにインストールしてみましたが、試みはfail2ban
IPアドレスの多いボットネットから来て、IPアドレスで動作するためうまく動作しません。
試行回数を減らす次の可能なオプションは、ポートを変更することですssh
。
この情報を収集するためのコマンド:
grep -ho 'Failed password for .*' /var/log/auth.log{,.1} \
| awk '{if ($4=="invalid") { print $6 } else { print $4 } }' \
| sort | uniq -c | sort -nr | head -n20