dポイントプレゼントキャンペーン実施中!

Linux3.2を見よう見まねで、中古パソコンにセットしてます。
接続環境
パソコン:IBM NETVISTA
回線so-netADSL
ルータ Aterm WD701cv DMZ設定
以上の様な内容で、Linux3.2の/var/log/secureログを見ると
apacheのトムキャット経由で、次のようなアクセスが、サーバーに頻繁に有るように残りますがこれは正常な状態か?不正な状態か教えていただきたいと思います。初歩的疑問で申し訳ありません。付けてファイアーウオールの勉強はどの辺から行けば良いかもお知らせいただけると助かります。ログの一部です。
Feb 2 06:41:18 anbaii sshd[9604]: error: Could not get shadow information for NOUSER
Feb 2 06:41:18 anbaii sshd[9604]: Failed password for invalid user daniel from 221.8.71.36 port 49691 ssh2
Feb 2 06:41:19 anbaii sshd[9607]: Invalid user william from 221.8.71.36
Feb 2 06:41:19 anbaii sshd[9607]: error: Could not get shadow information for NOUSER
Feb 2 06:41:19 anbaii sshd[9607]: Failed password for invalid user william from 221.8.71.36 port 49744 ssh2
Feb 2 06:41:20 anbaii sshd[9610]: Invalid user anthony from 221.8.71.36
Feb 2 06:41:20 anbaii sshd[9610]: error: Could not get shadow information for NOUSER
Feb 2 06:41:20 anbaii sshd[9610]: Failed password for invalid user anthony from 221.8.71.36 port 49802 ssh2

A 回答 (1件)

ふつ~にsshブルートフォースアタック受けているだけに見えますが…。


http://www.google.co.jp/search?hl=ja&q=ssh+%E3%8 …

221.8.71.36はそのときのあなたのサーバのIPなんでしょうか?
# 中国に割り当てのIPらしいので違うと思いますが…

http://221.8.71.36/
でアクセスしたらApacheのページが表示されるから、「apacheのトムキャット経由で」と言っているのでしょうか?
管理の甘いサーバが乗っ取られて踏み台にされているだけ…かと思われます。
デフォルトページが表示される。って程度の管理の様ですし。
# 乗っ取られた後でセットされた可能性もありますが。

sshブルートフォースに対する対策は…検索すると見つかるでしょう。
ウチでは公開鍵認証とAllowUsersで制限していますが、ログがうるさくなるのでポートを変更しました。
    • good
    • 0

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!