SSHで不正ログイン( failed login attempts since the last successful login.)

SSHでログインして「root」にスイッチすると下記のようにSSHログインで〇〇回失敗していると警告がありました

$ sudo su -
Last failed login: Wed Sep 30 10:00:00 JST 2017 from xxx.xxx.xxx.xxx on pts/0
There were 100 failed login attempts since the last successful login.

SSH接続ですが以下のように「root」ログイン不可、SSHポートも変更しています

$ sudo grep PermitRootLogin /etc/ssh/sshd_config 
PermitRootLogin no

$ sudo grep Port /etc/ssh/sshd_config 
Port 13xxx

「/var/log/secure」にも「authentication failure;…」、「Failed password for invalid user …」と認証エラーが、しかも数分で何回も何回も、アタックかけてきているIPアドレスですが国内ではなく、中国・韓国・ヨーロッパからのアクセスです

grep -i fail /var/log/secure
Sep 11 04:16:25 www01 sshd[15100]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=95.85.43.241  user=root
Sep 11 04:16:27 www01 sshd[15100]: Failed password for invalid user root from 95.85.43.241 port 27611 ssh2
Sep 11 04:17:30 www01 sshd[15116]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.165.66.226
Sep 11 04:17:31 www01 sshd[15116]: Failed password for invalid user naj from 121.165.66.226 port 4074 ssh2
Sep 11 04:20:47 www01 sshd[15755]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=49.233.200.37  user=root
Sep 11 04:20:50 www01 sshd[15755]: Failed password for invalid user root from 49.233.200.37 port 11480 ssh2
Sep 11 04:21:17 www01 sshd[15758]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ns301041.ip-91-121-67.eu
Sep 11 04:21:19 www01 sshd[15758]: Failed password for invalid user bsnl from 91.121.67.151 port 64528 ssh2
Sep 11 04:25:50 www01 sshd[16379]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.36.86.40  user=root
Sep 11 04:25:52 www01 sshd[16379]: Failed password for invalid user root from 218.36.86.40 port 43370 ssh2

アクセスの多いIPアドレスをF/Wをブロックする設定をしようと思いましたが、イタチごっこになりそうなのでやめて、自分がアクセスするIPアドレス以外はF/Wで拒否する設定にしました

 

スポンサーリンク