最近、サーバを外に公開した。
22番をふさいでなかったから、rootへのアクセスがいろんなところからありました。
ログ(/var/log/audit/audit.log):
こんなのとか
ipher=aes128-ctr ksize=128 mac=hmac-sha1 pfs=diffie-hellman-group14-sha1 spid=25526 suid=74 rport=53304 laddr=192.168.0.210 lport=22 exe="/usr/sbin/sshd" hostname=? addr=62.210.214.89 terminal=?
こういうのが
type=CRYPTO_KEY_USER msg=audit(1465648066.549:20656): pid=26324 uid=0 auid=4294967295 ses=4294967295 msg='op=destroy kind=server fp=f2:dc:49:90:65:a7:5e:78:34:91:e2:5d:74:e2:7f:06 direction=? spid=26324 suid=0 exe="/usr/sbin/sshd" hostname=? addr=121.18.238.29 terminal=?
記録された。
外からのアタックがあったようです。
なので、22番をルータでとじました。
以上。
22番をふさいでなかったから、rootへのアクセスがいろんなところからありました。
ログ(/var/log/audit/audit.log):
こんなのとか
ipher=aes128-ctr ksize=128 mac=hmac-sha1 pfs=diffie-hellman-group14-sha1 spid=25526 suid=74 rport=53304 laddr=192.168.0.210 lport=22 exe="/usr/sbin/sshd" hostname=? addr=62.210.214.89 terminal=?
こういうのが
type=CRYPTO_KEY_USER msg=audit(1465648066.549:20656): pid=26324 uid=0 auid=4294967295 ses=4294967295 msg='op=destroy kind=server fp=f2:dc:49:90:65:a7:5e:78:34:91:e2:5d:74:e2:7f:06 direction=? spid=26324 suid=0 exe="/usr/sbin/sshd" hostname=? addr=121.18.238.29 terminal=?
記録された。
外からのアタックがあったようです。
なので、22番をルータでとじました。
以上。