auth.logがLogの中でもひときわデカイ!なので調査してみるよ。
やっぱツールを使って総当たり的な感じでアタックしてくるね。
約2秒に1回とかで、インド、日本、中国、アメリカ、カナダ、ベトナム、・・・とかに割り当てられているアドレスからきてる。
sshのポートをデフォルトの22番にしておくと思っていたより侵入を試みようとした形跡がある。。
暗号鍵でしかログインできないようにしているから、入られてはいなかったけど、キモイので、sshd_configのPort番号を変えとこう。
Port=22てなってることを使ってない適当な番号に変える。
今回の調査は以下のようなとりあえず的な方法で行う。
【侵入を試しているユーザIDを知る】
grep 'Invalid user' /var/log/auth.log|awk 'BEGIN{FS=":"}{print $4}'|awk 'BEGIN{FS=" "}{print $3}'|sort|uniq |
【侵入を試しているユーザIDの数を知る】
grep 'Invalid user' /var/log/auth.log|awk 'BEGIN{FS=":"}{print $4}'|awk 'BEGIN{FS=" "}{print $3}'|sort|uniq|wc -l |
=>5/1からで1436種類
【侵入を試しているIPアドレスを知る】
grep 'Invalid user' /var/log/auth.log|awk 'BEGIN{FS=":"}{print $4}'|awk 'BEGIN{FS=" "}{print $5}'|sort|uniq |
【侵入を試しているIPアドレスの数を知る】
grep 'Invalid user' /var/log/auth.log|awk 'BEGIN{FS=":"}{print $4}'|awk 'BEGIN{FS=" "}{print $5}'|sort|uniq|wc -l |
=>5/1からで18種類
【そのIPアドレスの持ち主を知る】
whois xxx.xxx.xxx.xxx |
【全ポートスキャン】
nmap -sT -p1-65535 localhost |
【侵入を試しているIPアドレスの国を判別する】
方法:grepして、AwkでIPアドレスを取り出す、Whoisで出てくる国名だけを取り出す、ソート、ユニークする。
grep 'Invalid user' /var/log/auth.log|awk 'BEGIN{FS=":"}{print $4}'|awk 'BEGIN{FS=" "}{print $5}'|sort|uniq|xargs -I{} whois {}|grep -i country|sed 's/ //g'|sort|uniq Country:AU Country:CA Country:NL Country:US country:CN country:ES country:IN country:JP country:NL country:VN country:tr |
