sshログインすると「POSSIBLE BREAK-IN ATTEMPT!」のエラー表示

2018-11-22

sshログイン時に「but this does not map back to the address – POSSIBLE BREAK-IN ATTEMPT!」と表示される

sshでログインすると下記のように「but this does not map back to the address – POSSIBLE BREAK-IN ATTEMPT!」て感じでエラーが表示されます。

このサーバーですが、自前でECサイトを構築しており、その後ASP側のECサイト移行しました。
その際にDNS逆引きを以前に構築していたECサイトのドメインにしており、逆引き DNS (PTR) レコードが一致しない為エラーとなっていたようです。逆引きをこのサーバで運用しているレコードに変更したらエラーはなくなりました

/var/log/secureでの「POSSIBLE BREAK-IN ATTEMPT」の場合

「/var/log/secure」ログで、下記のように「POSSIBLE BREAK-IN ATTEMPT」のログが吐き出されている場合は、sshd へのブルートフォース攻撃みたいる可能性があります。

このサーバですが、SSHポートを変更したかったのですが、サーバーを利用している業者がSCPクライアントでWEBコンテンツのアップロード等をしておりSSHポート変更するのが難しくSSHポートはデフォルトのままですので、SSHポートへの攻撃が多いかと思います

「/var/log/secure」ログで「POSSIBLE BREAK-IN ATTEMPT」をキーにしてIPアドレスで集計してみと下記の結果に

SSHの不正ログイン対策

SSHでの不正ログインが多いので、結構アタックがきています。対策としては以下の対策があります

  1. SSHポートを22番ポートを違う番号にする
  2. /etc/hosts.deny に今拒否するIPアドレスを追加していく
  3. F/Wのiptables等で、接続を拒否するIPアドレスを追加していく

SSHポート変更は、サーバーを利用している業者に説明が必要なので難しいので、iptableに追加していきます。

「/var/log/secure」で「POSSIBLE BREAK-IN ATTEMPT」の文言を含むIPアドレスを集計して、上位10個のIPアドレスをiptableで追加していきます

根本的な対策になっていませんが、応急処置で対応してみました

スポンサーリンク

LinuxCentOS 6

Posted by admin