質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
86.12%
SSH

SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

Ubuntu

Ubuntuは、Debian GNU/Linuxを基盤としたフリーのオペレーティングシステムです。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

解決済

ubuntuにおいて不正アクセスの確認

yuwan
yuwan

総合スコア1

SSH

SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

Ubuntu

Ubuntuは、Debian GNU/Linuxを基盤としたフリーのオペレーティングシステムです。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

1回答

0グッド

0クリップ

275閲覧

投稿2022/11/20 15:27

編集2022/11/20 15:29

前提

AWS(OSはubuntu)で環境構築しSSHを使ってつないでいます。
高頻度でSSHがつながらなくなることがあるので(EC2は落ちていません)、その時は30分から1時間ほど時間を置くとつながるようになります。

そこで、いろいろ調べた所、一つの可能性として不正アクセスがあると聞きました。
それを聞き、lastdコマンドを使ったところ以下がわかりました。

発生している問題・エラーメッセージ

ユーザーはubuntu一つです。

イメージ説明

イメージ説明

私のIPは上記されている198.168.10.11のはずなのですが、いろいろなところからログインしようとされていると考えてよろしいのでしょうか。

そうではなかったら、この履歴に出てきている赤いIPは一体何なのでしょうか。

ご教授しただけたら幸いです。

情報が少なかったらもうしわけございません。
情報スクネーヨと言ってください。

尚、lastコマンドをした場合が以下です。ec2でインスタンスを再起動した痕跡がありますね。
イメージ説明

補足情報(FW/ツールのバージョンなど)

OS:ubuntu 22.04

以下のような質問にはグッドを送りましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

グッドが多くついた質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

下記のような質問は推奨されていません。

  • 間違っている
  • 質問になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

適切な質問に修正を依頼しましょう。

setoppu

2022/11/20 17:06

普通に、sshブルートフォース攻撃のログに見えますが…。 繋がりにくい。という時間帯と、ログに残っている時間帯は同じくらいなんでしょうか? 手っ取り早いのはsshの待ち受けポートを非標準ポートに変更することなんですが、AWSではそういう変更は可能なんでしょうか?? 脆弱なパスワードだったりすると、こういう攻撃でさっくりログインされたりするので…公開鍵認証に切り替えた方が安全なんですよね。 (ただし、その場合でもポート変更しないと攻撃を受け続けるので負荷低減にはなりませんが)
setoppu

2022/11/20 23:42

https://laraweb.net/environment/8159/ 普通にそういう記事(?)もありますな。 仮想マシンとかでなければ気になるほどの負荷でもない…気がしないでもないですが。 うっとうしいのは確かですけど。 (自宅のはポート変更と外部からは公開鍵認証にしてあります。一応時間制限も)
yuwan

2022/11/21 08:28

ありがとうございます。公開鍵認証(RSA暗号)をしているのですが、不思議ですね。設定の方はコンソールの方じゃなくてもできそうだったのでやってみます。ありがとうございました!

回答1

0

ベストアンサー

これだけだとアクセスがあったことしかわかりません。
そしてインターネットに公開しているとこういったアクセスはひっきりなしにあります。
気になるならセキュリティグループで22番ポートの接続元を絞るか、そもそもセッションマネージャを使うことでSSHを使わないなどしましょう。

そして、SSHがつながらなくなることに対して原因をいきなり不正アクセスに求めるのは飛躍しすぎです。
「つながらない」というのもどのようにして繋がらないのかが不明なのでわかりませんが、いずれにしてももう少し原因の切り分けをすべきでしょう。

投稿2022/11/21 08:53

yu_1985

総合スコア7072

良いと思った回答にはグッドを送りましょう。
グッドが多くついた回答ほどページの上位に表示されるので、他の人が素晴らしい回答を見つけやすくなります。

下記のような回答は推奨されていません。

  • 間違っている回答
  • 質問の回答になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

このような回答には修正を依頼しましょう。

回答へのコメント

yuwan

2022/11/21 09:43

ご指摘ありがとうございます。いろいろ調べた末、様々な可能性のうちの一つとしてこういうものがあるのではないかと書かれていましたので....接続元絞ったりしてみます。ありがとうございました。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
86.12%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

SSH

SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

Ubuntu

Ubuntuは、Debian GNU/Linuxを基盤としたフリーのオペレーティングシステムです。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。