今話題のスパムホストからのアクセスはスパムに留まらなかった!

5月 29, 2017

どうも、こんにちわ。
スパムって知ってますか?あのしょっぱい肉の塊でおにぎりの具にしても美味しいあれです。
ちがうちがう、迷惑メールやボットネットを利用している業者?なのですがスパム業者やその他から日々サーバーへの攻撃を受けています。
インターネット上に公開しているサーバーの宿命といえばそれまでですがインターネットに接続している以上攻撃から逃れることはできません。

����活�happy�����������

良く攻撃してくるIPとかホスト

最近こんなIPやホストからの攻撃をよく受けています。
中国が多くアメリカやメキシコと言った国もあります。
SSHへのアタックとなっており多分、ブルートフォースアタックとかその手の総当り攻撃系だと思います。SSHに侵入されるとサーバで何でもできちゃうので厄介ですよ。

  • 116.10.191.194 (中国)
  • 198.61.227.237 (米国)
  • 221.11.64.118 (中国)
  • *.dial.wz.zj.dynamic.163date.com.cn (中国)
  • customer-*-sta.uninet-ide.com.mx (メキシコ)

*.dial.wz.zj.dynamic.163date.com.cn
ここのホストはよくスパムコメントをブログや掲示板に書き込みしている有名なホストらしいのですがスパムコメントを投稿する以外にもSSHへアタックして何かボットでも仕込んでこようとしているのか攻撃活動もしているようです。
ちなみにブログアクセスは中国のホストからはできないようにしているのでスパムコメントは激減しました。詳しい方法はこちらの記事で書いています。
【スパムや攻撃対策】ブログへのアクセス遮断を実施する3つの方法

SSHへアタックしてくるユーザー名

デフォルトで使われているユーザーやサービスインストール時にできるユーザー名を利用しているようです。オペレーターとかはきっと管理会社や法人でよく利用されているのでしょう。
以下リストに上げたユーザーでのSSH接続は無効にしておくことをおすすめします。

  • root
  • mysql
  • ftp
  • apache
  • games
  • nobody
  • operator

ちなみにmysqlとApacheユーザーはいますがサービス起動以外には利用していないのでログインも接続もできないように設定しています。

対策

私が実施している対策は主に2つあります。サーバ運用やVPSでブログ公開などしている人はこの対策はしておいたほうが良いと思います。

DenyHostsの導入

DenyHostsはサーバーへの不正アクセスと思われる攻撃があった場合に該当ホストをアクセス禁止リストに自動的で追加し該当ホストからのアクセスを一定時間遮断するサービスです。
ログイン失敗回数や拒否する時間などは設定ファイルで自分で設定することができますが渡しの場合は2回失敗したら12時間拒否する設定にしています。
次の項目で書きますが、SSHは鍵認証なので基本的にログイン失敗することはありません。

SSHの鍵認証

リモートで接続して管理したいことがあったりするのでSSHを設定している人は多いと思います。私も設定しているのですがSSHのログイン認証方式を鍵認証方式にすることで鍵ファイルを持っていなければログインすることはできません。
よってパスワード入れてアクセスしようとしてきても絶対につながることはありません。
鍵ファイルは私しか持っていないしパスワード入れないのでログインに失敗することもないためDenyHostsで拒否されることも当然ありません。
ホスト名とIP変換はIPひろばが便利ですよ。

IPひろば:メイン

関連記事っす


こんな記事のリクエストからディズニーランドに一緒に遊びに行きませんか?というお誘い、写真を一緒に撮りに行きましょうというお誘い、誤字・脱字をはじめ全てのお問い合わせは、こちらへお願いします。
定期的な購読はRSSにご登録お願いします。
掲載している写真の個人的利用、保存はOKですが、複製、再利用、営利目的の利用は禁止です。


TOP