どうもこんにちは山田です。
本日は皆さんにお知らせがございます。
ブログを公開して一週間、レンタルサーバーを契約して十日ほど経ちましたが
私のところにも遂にやってきました!
サイバー攻撃が!
(実はサーバー契約して3日目から攻撃されてたのだが気づいてなかった、、、)
いずれはあるだろうとは思ってましたが想像してたより早かったです。
ハッカーたちはどうやって嗅ぎつけてるんですかねえ。
どんな種類の攻撃をされてるかと言いますと
まず一つ目がSSHへのブルートフォース攻撃です。
こんな感じで、一般的に使われてそうなユーザー名でサーバーにSSH接続しようという試みが数分おきに来ます。
色んなIPアドレスが見られますが、ほとんどは同じボットネットに所属するマシンなんでしょうね。
短時間で何回も同じIPを使ってアクセス失敗するとブロックされてしまうから、マシンをローテーションさせてるのでしょう。
二つ目はサイトのディレクトリへのブルートフォース攻撃です。
これは、webサイトに公開してない秘密のページやディレクトリを探して、あわよくば非公開情報を抜き出したり、サイト管理者専用のログインページを見つけようとする行為です。
いろいろなワードで隠しディレクトリがあるかどうか探ってるのがわかるかと思います。
ログを調べたところ、この攻撃は同じIPから連続で来てるので個人がやってるのか、少数のボットの仕業なのか
いずれにしても回線を無駄に圧迫するのでやめていただきたいのですが、、、
対応策としましては
・そもそもSSHのパスワード認証を許可しない
・連続でアクセス失敗したIPはブロック
などがあるかと思います。
まだほかにもいろいろ調べて処置するつもりです。
まあでも、サーバーを外部に公開している以上こういうのは日常茶飯事の出来事なのでしょう。 セキュリティーの大切さを改めて実感いたしました。
念のために言っておきますが、まだ不正アクセスはされてない(と思う)のでご安心を(笑)