D-STAR技術情報

アクセスカウンタ

zoom RSS DoS攻撃が増えています

<<   作成日時 : 2015/12/26 19:27   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

レピータ管理団体の皆さんへ

最近、rootのパスワードをプログラムで探すアクセスが増えています。複数のサイトからこのアクセスがされますとゲートウエイのPCが他のレピータからの転送を受け付けなくなります。いわゆるDoS攻撃です。このパスワード探しは、sshのポート22に対して行われます(CentOS等をインストールした状態のままですとこの設定になっています。)ので、ポート番号を変更していただくか、ファイアーウオールで、通常メンテナンスに使用するIPアドレス以外受け付けないように設定していただくようお願いします。サクセスされているかどうかは、 /var/log にある secure というファイルを見ていただくとわかります。

下記にサンプルを示しておきます。

Dec 20 04:09:53 localhost sshd[26238]: Failed password for root from 61.51.18.101 port 59229 ssh2
Dec 20 04:09:53 localhost sshd[26239]: Received disconnect from 61.51.18.101: 11: Bye Bye
Dec 20 04:09:54 localhost sshd[26240]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.51.18.101 user=root
Dec 20 04:09:56 localhost sshd[26240]: Failed password for root from 61.51.18.101 port 60919 ssh2
Dec 20 04:09:57 localhost sshd[26241]: Received disconnect from 61.51.18.101: 11: Bye Bye
Dec 20 04:09:57 localhost sshd[26242]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.51.18.101 user=root
Dec 20 04:09:59 localhost sshd[26242]: Failed password for root from 61.51.18.101 port 34296 ssh2
Dec 20 04:09:59 localhost sshd[26243]: Received disconnect from 61.51.18.101: 11: Bye Bye
Dec 20 04:10:00 localhost sshd[26244]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.51.18.101 user=root
Dec 20 04:10:02 localhost sshd[26244]: Failed password for root from 61.51.18.101 port 35659 ssh2
Dec 20 04:10:02 localhost sshd[26245]: Received disconnect from 61.51.18.101: 11: Bye Bye
Dec 20 04:10:02 localhost sshd[26246]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.51.18.101 user=root
Dec 20 04:10:05 localhost sshd[26246]: Failed password for root from 61.51.18.101 port 36971 ssh2
Dec 20 04:10:05 localhost sshd[26247]: Received disconnect from 61.51.18.101: 11: Bye Bye
Dec 20 04:10:05 localhost sshd[26248]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.51.18.101 user=root
Dec 20 04:10:08 localhost sshd[26248]: Failed password for root from 61.51.18.101 port 38486 ssh2
Dec 20 04:10:08 localhost sshd[26249]: Received disconnect from 61.51.18.101: 11: Bye Bye
Dec 20 04:10:08 localhost sshd[26250]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.51.18.101 user=root
Dec 20 04:10:10 localhost sshd[26250]: Failed password for root from 61.51.18.101 port 40040 ssh2
Dec 20 04:10:10 localhost sshd[26251]: Received disconnect from 61.51.18.101: 11: Bye Bye

上記の例では、IPアドレス 61.51.18.101 からrootのパスワードを探すためアクセスされています。

ポートを変更する場合は、/etc/ssh にある sshd_config の

# $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $

# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.

#Port 22 <= 1文字目の#を削除したのち、22を変更します。
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

この変更に合わせて、ルーターのポートフォワード、ファイアーウオールも変更します。
リモートから変更する場合は、新旧どちらも通るように設定してか下記コマンドを実行し
てください。失敗すると、リモートから作業ができなくなります。

service sshd restart

動作確認がとれたのち、古いポートを閉じてください。


を実行します。

テーマ

注目テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
DoS攻撃が増えています D-STAR技術情報/BIGLOBEウェブリブログ
文字サイズ:       閉じる