いらすとや-ブログ用-3大将

ConoHaVPS:KusanagiにWordPressで構築したコーポレートサイトのサーバに「最後の正しいログインの後に xx回の失敗ログインの試行があります」と何度も表示されるので、対応策を考える

#サーバ
written by GOATしゃっちょ

どうも!GOATのしゃっちょです。

最近、YouTubeでキャンパーの動画を観たり、NetFlixでゆるキャンを観て、キャンプを始めようとしている今日この頃です。

とりあえずで色々買い揃えたら5万以上かかりました・・・・!!!今月末・・・行ってきます・・・・!山中湖!!!!

さて、今回はサーバのお話です!

 

不正ログイン施行

コーポレートサイトのサーバにteratermでsshでログインを行うと、

最終ログイン: 2021/02/21 (日) 02:20:52 JST日時 pts/0
最後の正しいログインの後に 2872 回の失敗ログインの試行があります

こんなメッセージが!!!

怖い・・・もしや不正アクセスされそうになっている・・・・!!!?

 

環境情報

環境情報は以下です。
・ConoHa VPS

・CentOS 7.5

・Kusanagi

KusanagiってのはWordpressを高速表示させたり、セキュリティ強化したり・・とCMS超速実行環境です。

超高速CMS実行環境「KUSANAGI」とは
超高速CMS実行環境「KUSANAGI」(以下「KUSANAGI」)は、プライム・ストラテジーが開発・提供する世界最速クラスの仮想マシンイメージです。KUSANAGIの特徴
KUSANAGIの特徴は「高いパフォーマンス」と「高度に強化されたセキュリティ」です。

引用元:Kusanagi

 


ログインエラー履歴を見る

何が起きてるのか調べてみました。

まずはコマンド

# lastb -i

「lastb」コマンドは、コマンドライン上からログインに失敗した履歴を確認するときに使うコマンドです。
UNIX系(LinuxとかMacとか)で使えます。

書き方は

lastb [オプション] [表示対象のユーザ or 端末(複数指定可)]

 

引用元:「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典

 

でログインエラーの履歴を見て、検証します。
結果が以下

# lastb -i
root ssh:notty 112.29.172.224 Mon Feb 15 05:43 - 05:43 (00:00)
user ssh:notty 185.58.7.218 Thu Feb 18 03:00 - 03:00 (00:00)
WEBLOGIC ssh:notty 110.167.231.171 Thu Feb 18 01:16 - 01:16 (00:00)
ORACLE ssh:notty 110.167.231.171 Wed Feb 17 18:39 - 18:39 (00:00)
roosevel ssh:notty 112.29.172.224 Mon Feb 15 05:43 - 05:43 (00:00)
rom ssh:notty 112.29.172.224 Mon Feb 15 05:43 - 05:43 (00:00)
robert ssh:notty 112.29.172.224 Mon Feb 15 05:43 - 05:43 (00:00)
marco ssh:notty 104.248.158.100 Tue Feb 2 07:30 - 07:30 (00:00)
ubuntu ssh:notty 104.248.158.100 Tue Feb 2 07:34 - 07:34 (00:00)
centos ssh:notty 104.248.158.100 Tue Feb 2 07:49 - 07:49 (00:00)
kernel ssh:notty 104.248.158.100 Tue Feb 2 08:00 - 08:00 (00:00)
debian ssh:notty 104.248.158.100 Tue Feb 2 08:19 - 08:19 (00:00)
kali ssh:notty 104.248.158.100 Tue Feb 2 08:27 - 08:27 (00:00)
linux ssh:notty 104.248.158.100 Tue Feb 2 08:42 - 08:42 (00:00)
python ssh:notty 104.248.158.100 Tue Feb 2 08:53 - 08:53 (00:00)
admin ssh:notty 104.248.158.100 Tue Feb 2 09:05 - 09:05 (00:00)

 

とまあこんなことされてます。上記は当然、2872回のログイン実行エラーがあるので一部抜粋です。いろんなユーザ名で試してますね・・・。marcoとかrobertとか人の名前まであるのに驚きました。色々なこと考える人がいるなあ。と思いつつも、このままこんなことされ続けたら怖いので対応策を考えます。

ちなみに上記のIPアドレスはラッコツールズさんで検索してみると、ほぼほぼ中国のIPアドレスでした。KOWAI!!!!

 

対応策を考える

対応策としては

  1. アクセスできるIPアドレスを制限する
  2. ID/PW方式をやめて、秘密鍵方式にする

sshでのrootログインは禁止しており、ポートも変えているのでそこは今回置いてます。

ちょっと会社としての諸々の管理が大変そうだったので、とりあえず1でやってみることに。

 

アクセスできるIPアドレスを制限する

制限します。編集するファイルは/etc/hosts.denyと/etc/hosts.allowです。

host.denyはアクセス不可条件を指定するファイル

# vi /etc/hosts.deny
ALL:ALL

これで、一旦アクセスを全拒否して、次は許可するIPアドレスの指定です。

host.allowはアクセス許可条件を指定するファイル

# vi /etc/hosts.allow
all: 127.0.0.1
sshd: xxx.xxx.xxx.xxx
vsftpd: xxx.xxx.xxx.xxx

としました!これでIP制限ができたはずです。sshdがsshで、vsftpdはFTPの場合です。vsftpdの場合じゃない時は他にも色々あるみたい~。

注意点

グローバルIPアドレスじゃないとIPアドレス変わっちゃう可能性があり、リモート作業中心の昨今、自宅でグローバルIPアドレス持ってない人もいるので、アクセスできなくなっちゃうかも!
実際に弊社でも、移転前にIP制限して、移転後にsshしようとして「できねええええ」ってなったこともあります。ConoHaの場合だと、ConoHaの管理画面からコンソール立ち上がるのでそこからはログインできました!なのでConoHaのコンソール(Web)から、また↑のファイルいじって見れるようにしました!よかったよかった。

その他

その他の方法としてはFirewallで制御しちゃうとか、海外からのIPアドレスのみ制限してしまうとか色々ありますが、今回は別業務でも使えそうなIPアドレス制限を選択しました。Wordpressは特に世界で一番使用されているCMSのため、狙われやすいらしいので。社内のインフラエンジニアに教えてもらわねば・・・・。

最後に

「最後の正しいログインの後に xx 回の失敗ログインの試行があります」と表示されたら、少ない数であれば身内のどなたかが間違えた可能性もありますが、3桁超えたらさすがに…と思ったほうがいいですね!

  • トップページ
  • ブログ
  • ConoHaVPS:KusanagiにWordPressで構築したコーポレートサイトのサーバに「最後の正しいログインの後に xx回の失敗ログインの試行があります」と何度も表示されるので、対応策を考える