ConoHaVPS:KusanagiにWordPressで構築したコーポレートサイトのサーバに「最後の正しいログインの後に xx回の失敗ログインの試行があります」と何度も表示されるので、対応策を考える

どうも！GOATのしゃっちょです。

最近、YouTubeでキャンパーの動画を観たり、NetFlixでゆるキャンを観て、キャンプを始めようとしている今日この頃です。

とりあえずで色々買い揃えたら5万以上かかりました････!!!今月末･･･行ってきます････！山中湖!!!!

さて、今回はサーバのお話です！

 

不正ログイン施行

コーポレートサイトのサーバにteratermでsshでログインを行うと、

最終ログイン: 2021/02/21 (日) 02:20:52 JST日時 pts/0
最後の正しいログインの後に 2872 回の失敗ログインの試行があります

こんなメッセージが!!!

怖い･･･もしや不正アクセスされそうになっている････!!!?

 

環境情報

環境情報は以下です。
・ConoHa VPS

・CentOS 7.5

・Kusanagi

KusanagiってのはWordpressを高速表示させたり、セキュリティ強化したり・・とCMS超速実行環境です。

超高速CMS実行環境「KUSANAGI」とは
超高速CMS実行環境「KUSANAGI」（以下「KUSANAGI」）は、プライム・ストラテジーが開発・提供する世界最速クラスの仮想マシンイメージです。KUSANAGIの特徴
KUSANAGIの特徴は「高いパフォーマンス」と「高度に強化されたセキュリティ」です。

引用元：Kusanagi

 

---

ログインエラー履歴を見る

何が起きてるのか調べてみました。

まずはコマンド

# lastb -i

「lastb」コマンドは、コマンドライン上からログインに失敗した履歴を確認するときに使うコマンドです。
UNIX系（LinuxとかMacとか）で使えます。

書き方は

lastb [オプション] [表示対象のユーザ or 端末（複数指定可）]

 

引用元：「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典

 

でログインエラーの履歴を見て、検証します。
結果が以下

# lastb -i
root　ssh:notty　112.29.172.224　Mon　Feb　15　05:43　-　05:43　(00:00)
user　ssh:notty　185.58.7.218　Thu　Feb　18　03:00　-　03:00　(00:00)
WEBLOGIC　ssh:notty　110.167.231.171　Thu　Feb　18　01:16　-　01:16　(00:00)
ORACLE　ssh:notty　110.167.231.171　Wed　Feb　17　18:39　-　18:39　(00:00)
roosevel　ssh:notty　112.29.172.224　Mon　Feb　15　05:43　-　05:43　(00:00)
rom　ssh:notty　112.29.172.224　Mon　Feb　15　05:43　-　05:43　(00:00)
robert　ssh:notty　112.29.172.224　Mon　Feb　15　05:43　-　05:43　(00:00)
marco　ssh:notty　104.248.158.100　Tue　Feb　2　07:30　-　07:30　(00:00)
ubuntu　ssh:notty　104.248.158.100　Tue　Feb　2　07:34　-　07:34　(00:00)
centos　ssh:notty　104.248.158.100　Tue　Feb　2　07:49　-　07:49　(00:00)
kernel　ssh:notty　104.248.158.100　Tue　Feb　2　08:00　-　08:00　(00:00)
debian　ssh:notty　104.248.158.100　Tue　Feb　2　08:19　-　08:19　(00:00)
kali　ssh:notty　104.248.158.100　Tue　Feb　2　08:27　-　08:27　(00:00)
linux　ssh:notty　104.248.158.100　Tue　Feb　2　08:42　-　08:42　(00:00)
python　ssh:notty　104.248.158.100　Tue　Feb　2　08:53　-　08:53　(00:00)
admin　ssh:notty　104.248.158.100　Tue　Feb　2　09:05　-　09:05　(00:00)

 

とまあこんなことされてます。上記は当然、2872回のログイン実行エラーがあるので一部抜粋です。いろんなユーザ名で試してますね･･･。marcoとかrobertとか人の名前まであるのに驚きました。色々なこと考える人がいるなあ。と思いつつも、このままこんなことされ続けたら怖いので対応策を考えます。

ちなみに上記のIPアドレスはラッコツールズさんで検索してみると、ほぼほぼ中国のIPアドレスでした。KOWAI！！！！

 

対応策を考える

対応策としては

1. アクセスできるIPアドレスを制限する
2. ID/PW方式をやめて、秘密鍵方式にする

sshでのrootログインは禁止しており、ポートも変えているのでそこは今回置いてます。

ちょっと会社としての諸々の管理が大変そうだったので、とりあえず１でやってみることに。

 

アクセスできるIPアドレスを制限する

制限します。編集するファイルは/etc/hosts.denyと/etc/hosts.allowです。

host.denyはアクセス不可条件を指定するファイル

# vi /etc/hosts.deny
ALL:ALL

これで、一旦アクセスを全拒否して、次は許可するIPアドレスの指定です。

host.allowはアクセス許可条件を指定するファイル

# vi /etc/hosts.allow
all: 127.0.0.1
sshd: xxx.xxx.xxx.xxx
vsftpd: xxx.xxx.xxx.xxx

としました！これでIP制限ができたはずです。sshdがsshで、vsftpdはFTPの場合です。vsftpdの場合じゃない時は他にも色々あるみたい～。

注意点

グローバルIPアドレスじゃないとIPアドレス変わっちゃう可能性があり、リモート作業中心の昨今、自宅でグローバルIPアドレス持ってない人もいるので、アクセスできなくなっちゃうかも！
実際に弊社でも、移転前にIP制限して、移転後にsshしようとして「できねええええ」ってなったこともあります。ConoHaの場合だと、ConoHaの管理画面からコンソール立ち上がるのでそこからはログインできました！なのでConoHaのコンソール(Web)から、また↑のファイルいじって見れるようにしました！よかったよかった。

その他

その他の方法としてはFirewallで制御しちゃうとか、海外からのIPアドレスのみ制限してしまうとか色々ありますが、今回は別業務でも使えそうなIPアドレス制限を選択しました。Wordpressは特に世界で一番使用されているCMSのため、狙われやすいらしいので。社内のインフラエンジニアに教えてもらわねば････。

最後に

「最後の正しいログインの後に xx 回の失敗ログインの試行があります」と表示されたら、少ない数であれば身内のどなたかが間違えた可能性もありますが、３桁超えたらさすがに…と思ったほうがいいですね！