sshdに攻撃？ログインしようとしている : blog.nomadscafe.jp

sshdに攻撃からしら、/var/log/messageを見ていたら、こんなログがいっぱい。

Sep 12 08:29:09 ns sshd(pam_unix)[7506]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.108.8.140 
Sep 12 08:29:19 ns sshd(pam_unix)[7512]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.108.8.140  user=root
Sep 12 08:29:22 ns sshd(pam_unix)[7514]: check pass; user unknown

Sep 14 08:52:12 ns sshd(pam_unix)[13718]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=219.140.166.19 
Sep 14 08:52:15 ns sshd(pam_unix)[13720]: check pass; user unknown
Sep 14 08:52:18 ns sshd(pam_unix)[13722]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=219.140.166.19  user=root
Sep 14 08:52:21 ns sshd(pam_unix)[13724]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=219.140.166.19  user=root

Whoisによると中国のIPアドレスみたいだな。

@モナーの構築記録さんも同じようなことを書いております。

それとsshd_configから数回のログイン失敗したIPからはしばらくアクセス出来ないように直さないとな。

これはどうやってやるのだろう。。

@モナーさんに教えていただいた、brutesshは、cles::blogさんの記事にありました。

コメントを投稿

名前:

メールアドレス:

URL:

この情報を登録しますか?

コメント:

この攻撃はbrutesshというアタックツールみたいですよ。自分も今日知りました。

>それとsshd_configから数回のログイン失敗したIPからはしばらくアクセス出来ないように直さないとな。

http://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
に書いてあったような・・・と思ってみたら書いてませんでしたよね。
今は職場なんで分からないけど自宅の設定メモを見ておきますね。確かセキュリティ関係で可能なはずでした(勘違いでなければ)。

投稿者: @モナー | 2004年09月14日 16:10

↑これはsshdと勘違いしてました。別のです・・・ごめんなさい。

投稿者: @モナー | 2004年09月15日 09:32

ありがとうございます。
http://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html
は確認しました。
「ログイン失敗したIPからはしばらくアクセス出来ないように」の設定があれば良いんですけどね。

http://blog.cles.jp/item/341
これですね。brutessh

投稿者: かぜぶろ | 2004年09月15日 10:57

/etc/ssh/sshd_configの、MaxAuthTries に設定したい回数を書き込む。

service sshd restartで反映させる。

Opensshのデフォルトの機能で、そういったロックアウト機能は聞いた事がありません。

投稿者: ShoRyu | 2006年08月29日 16:25

括弧を挿入した行がHTMLのタグと勘違いされたのか、表示されないので、■に直しました。

■1セッションあたりのログイン回数を制限するには
/etc/ssh/sshd_configの、MaxAuthTriesに設定したい回数を書き込む。
service sshd restartで反映させる。