私のサーバーの1つがハッキングされ、既知の中国のボットネットに感染していることがわかりました。
自己固定IP(米国アドレス)を持つプロトタイプ/テストVMなので、何の害もありません(知るのに時間がかかりました)。
これで、攻撃が中国で始まったかどうかを理解するために、侵入にどのIP / sが使用されているかを知りたいと思います。
サーバーでSSH受信接続履歴を表示する方法はありますか?
編集:システムはLinux Debian 7です。
ベストアンサー1
コマンドの出力を見ると、lastIPアドレスまたはホスト名(スペースではない)を持つネットワークを介してすべての着信エントリを表示できます。それがそのシステムで実行できる唯一の方法であればsshd大丈夫です。
または、(Linuxの場合)ログインに成功しなくても、通常の接続が追跡されている場所/var/log/secure(RHベースのディストリビューションから)または/var/log/auth.log(Debianベースのディストリビューションで)確認できます(/クリック、読むものはどこですか)。例:sshdutmpwtmplast
Apr 3 16:21:01 xxxxxxvlp05 sshd[6266]: Connection closed by xxx.xxx.13.76
...
Apr 3 09:09:49 xxxxxxvlp05 sshd[26275]: Failed password for invalid user __super from xxx.xxx.13.76 port 45229 ssh2
IIRC Solaris sshd(必ずしもOpenSSHである必要はありませんsshd)は、この情報を次に記録します。/var/adm/messages
編集する:
@derobertは良い指摘をしています。どのシステムでもスーパーユーザーアカウントが破損した場合、攻撃者は次の/var/log/wtmpログファイルを変更できるため、すべての賭けがキャンセルされることを覚えておくことが重要です。/var/adm/messagesログをサーバー上の安全な場所に移動すると、この問題を軽減できます。
たとえば、以前に働いていた店舗には、データセンターのさまざまなサーバーから監査ログファイルのみを受信するように保護された「監査ストア」システムがありました。今後も同様の設定をお勧めします。 (「テストマシンがあります」という言葉は、大型店舗で運営しているかのように聞こえるからです。)