サーバへ大量のログイン失敗メッセージが出たので状況を確認してみた

2018年1月からさくらインターネットでVPS(仮想専用サーバ)を借りてLinuxの勉強をしたりWordpressでブログを書いている投資混浴エンジニアのすずめ８(@suzume8_vc) です。

2018年7月から純金積立、投資信託、日本株など投資関係と青森県酸ヶ湯温泉の混浴の記事が伸びているため、投資混浴エンジニアと名乗ってますw

最低、1日1回はVPS(仮想専用サーバ)へログインして、サーバに異常がないかチェックしています。

俺が借りているサーバのOSは2018年8月時点でCentOS7となります。

CentOSについての説明をウィキペディアより引用しました。

CentOSとはRed Hat Enterprise Linuxとの完全互換を目指したフリーのLinuxディストリビューションとなります。

個人でサーバを借りて運用している方のほとんどがLinuxを使っており、その中で多くの方がCentOSを使っているようです。

WordPressでブログを書いている人はWordpress用にカスタマイズされたKUSANAGIを使っている人もいるようですが、こちらも中のOSはCentOSとなってます。

KUSANAGIとは何？って方はベンダー(プライムストラテジー社)のホームページを見てください。

2018年9月20日の出来事
Linuxでsshログイン失敗を調べる方法について
対策について
まとめ

2018年9月20日の出来事

この週は仕事が忙しく、日々行っているサーバチェックもログインしてyum update を行って特に問題なければそのままログアウトしようと思ってました。

yum updateについては借りているサーバでOS再起動をしました、の記事で詳しく書いているのであわせてお読みください：

yum update コマンドを実行するために、su – コマンドでroot ユーザになった瞬間、以下のメッセージが出てきました。

最後の失敗ログイン: 2018/09/20 (木) 04:41:33 JST xxx.xxx.xxx.xxxから開始日時 ssh:notty
最後の正しいログインの後に 155 回の失敗ログインの試行があります

xxx.xxx.xxx.xxx はIPアドレスとなります。伏字とさせていただきました。

自分でログインした時にたまにパスワードを入れ間違うことがあって、メッセージ自体は特に驚くものではないのですが、155回の失敗ログインの試行ってさすがに俺じゃないし、ていうか誰やこんなにログイン失敗した奴はってこの時は思いました。

でもこの日は仕事で出なければいけない時間になっていたので、いったんブログにアクセスして正常に見れることと、書き換えなどがされてないことをざっと確認して、詳細は後日時間があるときにチェックしようと考えました。

ちなみにssh(Secure shell)はウィキペディアで調べると以下となります。

暗号や認証の技術を利用して、安全にリモートコンピュータと通信するためのプロトコル。パスワードなどの認証部分を含むすべてのネットワーク上の通信が暗号化される。

俺が借りているサーバは北海道にあります。

現役SEが語る災害が発生した時のサーバと電源の大事さについて、の記事で触れてますのであわせてお読みください：

普段はTeratermをインストールしたノートパソコンでsshを使ってサーバへアクセスしてます。

; //

Linuxでsshログイン失敗を調べる方法について

休日になり、少し時間ができたので細かく調べました。

まずはroot権限でコマンドを実行するため su コマンドを実行します。

$ su –

次に、journalctl コマンドでsshログインに失敗した履歴を調べます。

# journalctl _SYSTEMD_UNIT=sshd.service | egrep “Failed|Failure”

journalctl コマンドはCentOS7以降で使用できます。

その他の方法であれば、/var/log/secure ファイルをgrepやegrepコマンドでも確認できます。なお、/var/log/secure ファイルはログローテートされており、当日のログしか記録されてないので、前日以前を調べるにはgrepやegrepコマンドを実行する際に/var/log/secure* とすると確認できます。

例えば、egrep “Failed|Failure” /var/log/secure* って感じです。

なお、1か月より前のログはデフォルトの設定では消されてしまうので、設定を変更するか早めにチェックするようにしてください。

コマンドを実行するとこんな感じで出力されます。

Failed password for root from xxx.xxx.xxx.xxx port xxxxx ssh2

xxx.xxx.xxx.xxx はIPアドレス、port xxxxx はポート番号となります。それぞれ伏字とさせていただきました。

ちなみにこの時に出てきたIPアドレスはすべて同じものでした。

つまり同一人物が短時間に大量のsshログインを試みたことになります。

なお、IPアドレスから住所を特定し、地図上に位置を表示してくれるWebサイトもあります。

迷惑メールやスパムで困っている方にはおススメかと思います。

対策について

2018年9月24日に短時間に大量のsshログインを試みた件の対策を行いました。

以降は今回の事象は発生しません。

なお、セキュリティ対策のためどのような対策をしたかは具体的に明記しませんのでご了承ください。

まとめ

VPS(仮想専用サーバ)へログインして、サーバで異常がないかチェックしてます！
2018年9月20日に155回の失敗ログインの試行がありました！
journalctlコマンドでsshログインに失敗した履歴を調べることができます！
2018年9月24日に大量のsshログインを試みた件の対策を行いました！