この記事は 茨大 Advent Calendar 2020 9日目の記事です。adventar.org

こんにちは。きたくです。情報工4年です。

サーバに詳しくない人がサーバを用意したら、知らない人がsshでアクセスしようとしていたときの話をかきます。

ログイン試行されるまで

この話は「サーバ用意して何かしたいな～、遊びたいな～」という思いつきから始まります。遊ぶためにサーバを準備したいわけですが、新しくマシンを買うほどではないかな と考えています。じゃあどうするのって話になるのですが、VPSを利用することにしました。電力とか設置場所とかを考えなくていいので楽できそうですよね。

ということで、まずどのようなVPSサービスがあるのかを調べました。いくつか見つけましたが、GMOの提供しているConoHaを選びました（選んだ理由は忘れました）。

アカウントを作って、支払情報を登録して、いろいろクリックしていくとVPSが使えるようになりました。やったね、これでサーバで遊べます！

3,800回ログイン試行されたサーバ

VPSを用意した日はsshでログイン（パスワード認証）できることを確認して寝ました。

2日後に再度ログインすると、サーバから「3,800回ログインに失敗してるよ」とお知らせがありました。パスワード認証を有効にして2日放置した結果、知らない人がログインしようとしてきたのです。

ログを見る

とりあえずログインエラーの履歴を見てみました。履歴からは

• ログインしようとした人のIPアドレス
• ログインに利用したユーザ名

の情報がわかります。

IPアドレスについては、それがどの国の管轄であるのかを調べるツールを見つけました。使ってみたところ、攻撃の95%(3,600/3,800)はＣ国からでした。次に多かったのは2%(100/3,800)でＶ国でした。

ログイン時のユーザ名は、rootが95%(3,600/3,800)、adminが2%(100/3,800)でした。このほかにはuser、guest、testなどがありました。

対策したこと

知らない人からアクセスされるのは気持ち悪いので、何か対策できることはないかと思いググりました。その結果、

• sshのポート番号の変更
• rootのログイン禁止
• パスワードでのログイン禁止
• 公開鍵認証方式の利用

この4つを試してみました。

効果

「最後のログインの前にN回ログインに失敗しました」という表示を見なくなりました。対策が有効だったようです。

さいごに

「対策したこと」の4つは新しくサーバを用意したときにはやっておくべきことらしいです。知らなかったのでいい勉強になりました。