2008年3月13日木曜日

LogWatchのメールがすごいことに・・・

自宅でたてているサーバーから「LogWatch for localhost.localdomain」というメールが毎日届きます。サーバーへのアクセスを毎日まとめて送ってくれるものなんですが、このメールの容量が、なんと5万7千行、3MBになってました。。。

内容を見てみると、SSHDへの攻撃が99%を占めていました。発信元IPは韓国。

rootとかpgsql、adam、andrew、michaelなど、存在しそうなアカウント名で手当たり次第アタックをかけられてました。

うちはiptablesでアクセス制限してるので攻撃はすべてはじくんですが、SSHDへのアタックにはhosts.denyを使うのが有効らしいので、さっそく導入。

まずhosts.allowで許可するIPを指定
sshd: 192.168.1. : allow
sshd: 123.456.789.012 : allow

そしてhosts.denyで全部拒否
sshd: ALL

そして翌日、LogWatchからのメールは6KBになりました。。

参考
http://fg-180.katamayu.net/archives/2005/11/05/104105
投稿者 時刻:
ラベル: , , , ,

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)