auth.logが結構なサイズになっているじゃないか!

auth.logがLogの中でもひときわデカイ!なので調査してみるよ。

やっぱツールを使って総当たり的な感じでアタックしてくるね。
約2秒に1回とかで、インド、日本、中国、アメリカ、カナダ、ベトナム、・・・とかに割り当てられているアドレスからきてる。
sshのポートをデフォルトの22番にしておくと思っていたより侵入を試みようとした形跡がある。。

暗号鍵でしかログインできないようにしているから、入られてはいなかったけど、キモイので、sshd_configのPort番号を変えとこう。
Port=22てなってることを使ってない適当な番号に変える。

 

 

 
今回の調査は以下のようなとりあえず的な方法で行う。
 

【侵入を試しているユーザIDを知る】

 grep 'Invalid user' /var/log/auth.log|awk 'BEGIN{FS=":"}{print $4}'|awk 'BEGIN{FS=" "}{print $3}'|sort|uniq

【侵入を試しているユーザIDの数を知る】

 grep 'Invalid user' /var/log/auth.log|awk 'BEGIN{FS=":"}{print $4}'|awk 'BEGIN{FS=" "}{print $3}'|sort|uniq|wc -l

=>5/1からで1436種類

【侵入を試しているIPアドレスを知る】

 grep 'Invalid user' /var/log/auth.log|awk 'BEGIN{FS=":"}{print $4}'|awk 'BEGIN{FS=" "}{print $5}'|sort|uniq

【侵入を試しているIPアドレスの数を知る】

 grep 'Invalid user' /var/log/auth.log|awk 'BEGIN{FS=":"}{print $4}'|awk 'BEGIN{FS=" "}{print $5}'|sort|uniq|wc -l

=>5/1からで18種類

【そのIPアドレスの持ち主を知る】

 whois xxx.xxx.xxx.xxx

【全ポートスキャン】

 nmap -sT -p1-65535 localhost

【侵入を試しているIPアドレスの国を判別する】
方法:grepして、AwkでIPアドレスを取り出す、Whoisで出てくる国名だけを取り出す、ソート、ユニークする。

grep 'Invalid user' /var/log/auth.log|awk 'BEGIN{FS=":"}{print $4}'|awk 'BEGIN{FS=" "}{print $5}'|sort|uniq|xargs -I{} whois {}|grep -i country|sed 's/ //g'|sort|uniq
Country:AU
Country:CA
Country:NL
Country:US
country:CN
country:ES
country:IN
country:JP
country:NL
country:VN
country:tr
 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です