サーバーへの攻撃ログ
環境はCent OS
友人と運用しているサーバーのログを見てみると、
(*の部分は省略しています)
**** unix_chkpwd[****]: password check failed for user (root) **** sshd[****]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=**** user=root **** sshd[****]: Failed password for root from **** port **** ssh2 **** unix_chkpwd[****]: password check failed for user (root) **** sshd[19207]: Failed password for root from **** port **** ssh2 **** unix_chkpwd[****]: password check failed for user (root) **** sshd[19207]: Failed password for root from **** port **** ssh2 **** unix_chkpwd[****]: password check failed for user (root) **** sshd[19207]: Failed password for root from **** port **** ssh2 **** unix_chkpwd[****]: password check failed for user (root) **** sshd[19207]: Failed password for root from **** port **** ssh2
とまあrootでログイン仕様としているログが大量にあるわけです。
うーん、IPを調べると全て外国からでした。
apacheのログにも
******* - - [***2014:**** +0900] "CONNECT *****.:25 HTTP/1.0" 405 304 "-" "-"
これは、どうやら外部のメールサーバーへの中継を試みているようです。
最近この攻撃が多いです。ちゃんと405を返しているので大丈夫でしょう。
他にも、
**** - - [****] "POST /cgi-bin/php4?********* HTTP/1.1" 404 274 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
これは、apacheの脆弱性を狙っているっぽいです。Apache Magicaっていうらしい。
更に大量のログが。。。。
**** - - [*****] "POST /wordpress//wp-login.php HTTP/1.1" 200 4156 "-" "Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/****
こんなのがたくさん
これは単純に、wordpressの管理画面にアクセスしようとしているのかな。
まあ、秒単位で大量のアクセスがあったので狙いは明らかです。
wordpressは使っていなかったため、セキュリティ上不要なものは削除した方がいいと判断し、wordpressをアンインストール、mysqlのデータベースもドロップしました。
他にも、エンコードされていて、解析しづらくなっている異常なリクエストや、XSSでも狙っているのかみたいなログもありました。
bingとかgoogleなどの検索エンジンのボットからのアクセスもログに残っていて、これはちょっと嬉しかった。
でもサーバーの管理は大変です。。。
定期的にアップデート、ログのチェック、etc...
セキュリティの勉強にもなるので、頑張ります。。。。。
ログを見る限り、突破されてないものの、あまりよろしくないので、fail2banというログを監視してくれるツールをインストールしました。
ちなみに、rootログインは基本的に禁止しておいたほうがいいです。
fail2banの入れ方はそのうち書くかも。ほかもいろいろ