しょぼんブログ サーバーへの攻撃を整理してみた
大手ブログなどが攻撃を受けてダウンしている、といったニュースを耳にしたので、しょぼんブログが受けたSSH不正ログイン試行回数を03/01から03/30までのログからすくい上げて、可視化してみました。
攻撃試行回数は1865回
SSHへの不正ログインは全て/var/log/secureへ記録されています。
以下のフォーマットで記録されます。
[code]
Mar 30 20:36:10 haruna sshd[61627]: Invalid user sphinx from ***.***.***.***
[/code]
harunaは弊ブログのサーバーのホストネームです。
Invalid user sphinxのsphinxが、攻撃者がログイン試行時に使ったユーザー名です。
その後のfrom以下の***でマスクされているところに、攻撃者のIPアドレスが記載されます。
これを見れば、3/30 20:36:10に***.***.***.***から、sphinxユーザーでSSHに接続しようとした、ことが分かります。
そんなログを集計してみたところ、1865回不正ログインが試行されたことが分かりました。
30日間に1865回ですので、1日に約62回ほど不正ログインが試行されているみたいですね。
正直なところ、Publicサーバーの割には少ないなぁというのが正直な感想です。
可視化するとこんな感じでした。
攻撃元を国毎に分別
攻撃元のIPアドレスから国を特定し、特に目立った国をまとめてみました。
攻撃元のIPアドレスは、
ここのAPIを利用しました。
curl ipinfo.io/<IPアドレス>/country
curlでこのようにAPIを叩くと、そのIPアドレスがどこの国の物か返答してくれます。
まとめる前から分かっていたことではありますが、中国からの攻撃がダントツで多いですね・・・
それ以降については、不正接続の常連さんですので、そこまで驚くようなデータではありませんでした。
ただ、ウクライナの数が少ないのが意外なところでしょうか。クリミアで色々とごたごたがあったからでしょうか・・・
上記のデータからヒートマップを作成した物がこちら。
不正ログインを試行した際に使われたアカウント
お次は不正ログインを試行した際に使われたアカウントをグラフ化してみました。
意外なのが、rootがランクアップしていないこと。
流石にrootアカウントではログインは成功しにくいということが分かって居るみたいですね・・・
ただ、adminやoracle、userなどアプライアンスや、ソフトウェアを導入したときに作成されるデフォルトユーザー等を使っているみたいですね。
特に注目しておきたいのが「pi」でしょうか。Raspberry Piによく導入されているRaspbianのデフォルトユーザーです。
最近、Raspberry Piの普及率が上がってきています。その影響なのかもしれませんね。
まとめ
さて、こうしてまとめてみると案外おもしろい物ですね。
・VPS等でサーバーを運用している方は、
・必ずSSHのログイン方法は公開鍵暗号方式に切り替える
・allow usersでログインできるユーザーを絞る
・rootログインは無効化する
・アプライアンスやソフトウェアで利用するユーザーのログインシェルを/sbin/nologinに設定する
等の最低限の対策を実施することを強くオススメします。
自分のサーバーなんてそんな有名じゃないから、そこまで設定する必要も無いでしょ、何て考え方は通用しないので気をつけてくださいね。
