2日前、VPSのサーバーをセットアップして、一つのサービスを稼動させました。 今日そのサーバーのsyslogとauth.logを何気なしに見ていると、なんだかいっぱいログが吐き出されているではないですか。
Jul 9 21:50:08 host1 sshd[12274]: Illegal user services from 164.100.194.6 Jul 9 21:50:09 host1 sshd[12276]: Illegal user services from 164.100.194.6 Jul 9 21:50:11 host1 sshd[12278]: Illegal user services from 164.100.194.6 Jul 9 21:50:12 host1 sshd[12280]: Illegal user office from 164.100.194.6 Jul 9 21:50:14 host1 sshd[12282]: Illegal user office from 164.100.194.6 Jul 9 21:50:15 host1 sshd[12284]: Illegal user office from 164.100.194.6 Jul 9 21:50:16 host1 sshd[12286]: Illegal user bobby from 164.100.194.6 Jul 9 21:50:18 host1 sshd[13312]: Illegal user bobby from 164.100.194.6 Jul 9 21:50:19 host1 sshd[13314]: Illegal user bobby from 164.100.194.6 集計してみると、2日間で685件ものアタックが行われていることになります。 新しいIPを割り当てたばかりなのに、クラッカーのプログラムが無差別に徘徊しているのは、どうも本当のようですね。 原因は、後で制限しようと思っていたIP制限を入れ忘れたことによって発生した、人為的なセキュリティホールでした。 もちろん、発見後はIP制限、ポート変更、ファイアウォールの設定を行っています。 セキュリティのチェックは、慎重にやらないといけませんね。 反省させられるミスでした。 |