Q&A
普通に、sshブルートフォース攻撃のログに見えますが…。
繋がりにくい。という時間帯と、ログに残っている時間帯は同じくらいなんでしょうか?
手っ取り早いのはsshの待ち受けポートを非標準ポートに変更することなんですが、AWSではそういう変更は可能なんでしょうか??
脆弱なパスワードだったりすると、こういう攻撃でさっくりログインされたりするので…公開鍵認証に切り替えた方が安全なんですよね。
(ただし、その場合でもポート変更しないと攻撃を受け続けるので負荷低減にはなりませんが)
前提
AWS(OSはubuntu)で環境構築しSSHを使ってつないでいます。
高頻度でSSHがつながらなくなることがあるので(EC2は落ちていません)、その時は30分から1時間ほど時間を置くとつながるようになります。
そこで、いろいろ調べた所、一つの可能性として不正アクセスがあると聞きました。
それを聞き、lastdコマンドを使ったところ以下がわかりました。
発生している問題・エラーメッセージ
ユーザーはubuntu一つです。
私のIPは上記されている198.168.10.11のはずなのですが、いろいろなところからログインしようとされていると考えてよろしいのでしょうか。
そうではなかったら、この履歴に出てきている赤いIPは一体何なのでしょうか。
ご教授しただけたら幸いです。
情報が少なかったらもうしわけございません。
情報スクネーヨと言ってください。
尚、lastコマンドをした場合が以下です。ec2でインスタンスを再起動した痕跡がありますね。
補足情報(FW/ツールのバージョンなど)
OS:ubuntu 22.04
https://laraweb.net/environment/8159/
普通にそういう記事(?)もありますな。
仮想マシンとかでなければ気になるほどの負荷でもない…気がしないでもないですが。
うっとうしいのは確かですけど。
(自宅のはポート変更と外部からは公開鍵認証にしてあります。一応時間制限も)
ありがとうございます。公開鍵認証(RSA暗号)をしているのですが、不思議ですね。設定の方はコンソールの方じゃなくてもできそうだったのでやってみます。ありがとうございました!
回答1件
0
ベストアンサー
これだけだとアクセスがあったことしかわかりません。
そしてインターネットに公開しているとこういったアクセスはひっきりなしにあります。
気になるならセキュリティグループで22番ポートの接続元を絞るか、そもそもセッションマネージャを使うことでSSHを使わないなどしましょう。
そして、SSHがつながらなくなることに対して原因をいきなり不正アクセスに求めるのは飛躍しすぎです。
「つながらない」というのもどのようにして繋がらないのかが不明なのでわかりませんが、いずれにしてももう少し原因の切り分けをすべきでしょう。
投稿2022/11/21 08:53
総合スコア7447
ご指摘ありがとうございます。いろいろ調べた末、様々な可能性のうちの一つとしてこういうものがあるのではないかと書かれていましたので....接続元絞ったりしてみます。ありがとうございました。
あなたの回答
tips
プレビュー
