VPS(Debian 9) 호스트에서 OVH를 통해 명령을 실행할 때 journalctl -xe
연결 시도가 여러 번 표시됩니다. 이것이 정상입니까?
다음은 로그의 일부입니다.
-- Logs begin at Mon 2019-04-08 22:51:43 CEST, end at Tue 2019-04-09 09:31:32 CE
ST. --
Apr 09 08:01:49 vps668970 sshd[4559]: Disconnected from 173.249.50.217 port 4333
8 [preauth]
Apr 09 08:02:21 vps668970 sshd[4561]: pam_unix(sshd:auth): authenticatio
n failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.249.50.217 user=root
Apr 09 08:02:23 vps668970 sshd[4561]: Failed password for root from 173.249.50.2
17 port 34630 ssh2
Apr 09 08:02:23 vps668970 sshd[4561]: Received disconnect from 173.249.50.217 po
rt 34630:11: Normal Shutdown, Thank you for playing [preauth]
Apr 09 08:02:23 vps668970 sshd[4561]: Disconnected from 173.249.50.217 port 3463
0 [preauth]
Apr 09 08:02:54 vps668970 sshd[4563]: pam_unix(sshd:auth): authenticatio
n failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.249.50.217 user=root
Apr 09 08:02:56 vps668970 sshd[4563]: Failed password for root from 173.249.50.2
17 port 54154 ssh2
Apr 09 08:02:56 vps668970 sshd[4563]: Received disconnect from 173.249.50.217 po
rt 54154:11: Normal Shutdown, Thank you for playing [preauth]
Apr 09 08:02:56 vps668970 sshd[4563]: Disconnected from 173.249.50.217 port 5415
4 [preauth]
Apr 09 08:03:23 vps668970 kernel: [UFW BLOCK] IN=ens3 OUT= MAC=fa:16:3e:
답변1
예, 이는 정상입니다.
다음과 같은 흥미로운 시만텍 기사를 읽어 보십시오.악의적인 SSH 로그인 시도 분석".
4월 1일 이후 내 서버에서 발생한 로그인 시도 실패 횟수와 상위 20개 계정 이름은 다음과 같습니다.
2919 root
194 admin
122 test
83 zabbix
67 user
66 ftpuser
65 postgres
60 mysql
58 nagios
49 ubuntu
44 www-data
43 pi
42 support
42 oracle
39 jboss
36 guest
34 usuario
33 tomcat
32 dell
30 www
- 2182개의 서로 다른 계정 이름을 사용하여 총 9872번의 시도가 이루어졌습니다.
- 분당 0.8회 시도.
root
SSH 로그인이 비활성화되고 나머지 모든 계정 이름이 존재하지 않거나 쉘 역할을 하지 /usr/sbin/nologin
않습니다 . /bin/false
그러니 걱정할 것이 없습니다.
fail2ban
가능한 모든 시도를 줄이기 위해 설치해 보았지만 , fail2ban
시도가 IP 주소가 많은 봇넷에서 들어오고, IP 주소에서 작동하기 때문에 잘 작동하지 않습니다.
시도 횟수를 줄이는 다음 가능한 옵션은 포트를 변경하는 것입니다 ssh
.
이 정보를 수집하는 명령:
grep -ho 'Failed password for .*' /var/log/auth.log{,.1} \
| awk '{if ($4=="invalid") { print $6 } else { print $4 } }' \
| sort | uniq -c | sort -nr | head -n20