数週間前、私はここにいくつかのsshについての質問を投稿しました Ubuntu12.04ボックスで発生していた問題。今日まで早送りして、他の誰かにマシンへのアクセスを許可しようとしていますが、パスワードエラーが発生し続けます。 var/logs/auth.logをチェックアウトします 詳細については、これを見つけました:
May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x
私はほぼ10000行あり、すべてがほぼ同じことを言っているようです(4つのauth.log.gzファイルもありますが、これはもっと同じだと思いますか?)。リクエストにランダムなユーザー名が添付されている場合があります。input_userauth_request: invalid user bash [preauth]
サーバーについてはよくわかりませんが、誰かが私のサーバーにアクセスしようとしているようです。
UbuntuでIPアドレスをブロックする方法をGoogleで調べたところ、次のようになりました:iptables -A INPUT -s 211.110.xxx.x -j DROP 、しかし、そのコマンドを実行してログを確認した後も、この1つのIPから5秒ごとにリクエストを受け取っています。
何が起こっているのかを知り、これらの絶え間ない要求に対処するにはどうすればよいですか?
承認された回答:
あなたが説明していることから、それはあなたのサーバーへの自動化された攻撃のように見えます。攻撃者があなたを個人的に知っていて恨みを持っていない限り、ほとんどの攻撃はそうです…
とにかく、通常のリポジトリから取得できるdenyhostsを調べたいと思うかもしれません。繰り返される試行を分析でき、IPアドレスをブロックします。ログに何かが記録される可能性はありますが、少なくともセキュリティ上の懸念を軽減するのに役立ちます。
より多くの情報を得るということに関しては、私は本当に気にしません。彼らがアマチュアでない限り、彼らはリモートサーバーを使用して汚い仕事をしますが、それは彼らが実際に誰であるかについて何も教えてくれません。最善の策は、IP範囲の管理者を見つけて(ここではWHOISがあなたの友達です)、そのIPから多くのアクセス試行が行われていることを彼らに知らせることです。彼らはそれについて何かをするのに十分かもしれません。
関連:UbuntuでUbuntuをVPNサーバーとしてセットアップする最も簡単な方法は?