Linux3.2　サーバーsecure logファイルについて

締切済

質問者：kousuke08w
質問日時：2009/02/02 08:38
回答数：1件

Linux3.2を見よう見まねで、中古パソコンにセットしてます。
接続環境
パソコン：IBM　NETVISTA
回線so-netADSL
ルータ　Aterm WD701cv DMZ設定
以上の様な内容で、Linux3.2の/var/log/secureログを見ると
apacheのトムキャット経由で、次のようなアクセスが、サーバーに頻繁に有るように残りますがこれは正常な状態か？不正な状態か教えていただきたいと思います。初歩的疑問で申し訳ありません。付けてファイアーウオールの勉強はどの辺から行けば良いかもお知らせいただけると助かります。ログの一部です。
Feb 2 06:41:18 anbaii sshd[9604]: error: Could not get shadow information for NOUSER
Feb 2 06:41:18 anbaii sshd[9604]: Failed password for invalid user daniel from 221.8.71.36 port 49691 ssh2
Feb 2 06:41:19 anbaii sshd[9607]: Invalid user william from 221.8.71.36
Feb 2 06:41:19 anbaii sshd[9607]: error: Could not get shadow information for NOUSER
Feb 2 06:41:19 anbaii sshd[9607]: Failed password for invalid user william from 221.8.71.36 port 49744 ssh2
Feb 2 06:41:20 anbaii sshd[9610]: Invalid user anthony from 221.8.71.36
Feb 2 06:41:20 anbaii sshd[9610]: error: Could not get shadow information for NOUSER
Feb 2 06:41:20 anbaii sshd[9610]: Failed password for invalid user anthony from 221.8.71.36 port 49802 ssh2

通報する

この質問への回答は締め切られました。

質問の本文を隠す

回答 (1件)

最新から表示
回答順に表示

No.1

回答者： Wr5
回答日時：2009/02/03 00:57

ふつ～にsshブルートフォースアタック受けているだけに見えますが…。

http://www.google.co.jp/search?hl=ja&q=ssh+%E3%8 …

221.8.71.36はそのときのあなたのサーバのIPなんでしょうか？
# 中国に割り当てのIPらしいので違うと思いますが…

http://221.8.71.36/
でアクセスしたらApacheのページが表示されるから、「apacheのトムキャット経由で」と言っているのでしょうか？
管理の甘いサーバが乗っ取られて踏み台にされているだけ…かと思われます。
デフォルトページが表示される。って程度の管理の様ですし。
# 乗っ取られた後でセットされた可能性もありますが。

sshブルートフォースに対する対策は…検索すると見つかるでしょう。
ウチでは公開鍵認証とAllowUsersで制限していますが、ログがうるさくなるのでポートを変更しました。