SSHへのアタックが来まくり・・・

最近、サーバのsshポートに向けて、色々なアカウントで接続を試すアタックがやたら増えている。
アタックはあっても、まぁ、入られてしまうような安易なパスワードにはなってないハズ(^^;なので良いんだけど、ログがやたらと増えてかなわんな～ぁ

過去1ヶ月ぐらいの間にアタックが来たIPアドレスを調べてみたんだけど、どうやら一度来ると二度と来ないらしい。
という事は、定期的にcronとかでログを調べて、該当IPをフィルターするのでは間に合わないから、一度着始めたら最初のいくつかの失敗で速攻でフィルターをかけ、該当IPからsshへのパケットを全て叩き落すようにしなきゃダメっぽい。

という事で、とりあえずリアルタイムでログ見て何かするためにsyslogdをsyslog-ngに換えてみた。
syslogdでもFIFO使ってプログラムにデータを渡す事はできるんだけど、FIFOだとプログラムがコケてたりするとパイプが詰まって大変な事になるので(^^;、まぁ、この際だしsyslog-ngかな？と・・・

イキナリ止めてしまうのも怖いので(^^;、まずはフィルターの一歩手前まで、IP記録してフィルターする条件に達した事を記録するだけのスクリプトを作って仕込んでみた。
これでうまく行くようだったら、フィルターの記録をしている所に、iptablesで該当IPをフィルターする設定を加えれば良いだけ・・・のハズ(^^;

ちなみに、正当なユーザでもパスワードを間違える事はあるので、一発免停（違）ではなく、直近1分間に3回以上間違えたパスワードを投入したIPをブロックするような条件にしてある。
正当なユーザであれば、2回間違えたら1分以上置いてから再度試してね、という事で。
更にちなみに、アタックの場合は秒1回ぐらい（1分で60回以上）の試行があるようだから、十分判別は可能かな？と。

で、仕込んでみたのは良いんだけど、仕込んだ途端、サッパリ来ないorz

コメント

　うちもちょっと前までとんでもない量のアタックが来てました。
　最初はPerlで組んだロガーとフィルタ追加スクリプトで対処してたんですが、らちがあかないんで、SSHのポート変えてみました。
　異様に減りましたよ。
　まぁ……実務上ポート変えれない場合は仕方ないですが……。

投稿: 針生 | 2006.05.23 00:39

＞針生さん
そう、ポートが変えられれば話は早いんですが、社外の人もたくさん使ってるサーバがあったりするので、そう簡単には変えられなかったり・・・

とりあえず、↑のスクリプト設置後、いくつか上手い事検出てきてるっぽいので、フィルタールールも追加してみた。
これで静かになるかなぁ？(^^;

投稿: ＜セルダン＞ | 2006.05.23 01:20