私はサイバーセキュリティの学生であり、定期的にサーバー関連の作業を行っていません。SSHログインログを確認する方法を考えていたところ、Sudo cat /var/log/auth.log
を使用して確認でき、サーバー上で確認できました。 of Failed password for root from [IP]
これは新しくインストールされたリモートサーバーであり、何度もログに記録することはできませんでした。
次に、それを注意深く読み、Failed password for root from [IP]
と書いてあります。 root
の?私は別のユーザーアカウントを作成しました。初めて新しいユーザーアカウントを作成する必要があったときを除いて、root
ユーザーに触れたことはありません。誰かが資格証明を総当たりして運を試しているようです。それでも、先輩にどう思うか聞いてみたかったのですが?
私はこのサーバー上で何も実行していません。Apache、nginxなどでさえありません。開いているのはSSHポートだけで、AFAIKは最近のSSHの脆弱性を公開していません。
そして、私が聞きたかったもう1つの重要なことは、セキュリティの学生であることは、これが私の注意を本当に引きつけ、私がこれについてもっと知りたいと思っていることです。なぜ誰かが新しいサーバーを総当たりしてスキャンするスクリプトを実行するのですか?彼が何を手に入れるかというと、私の場合はほとんど何もありません。当初、彼は私のサーバーを使用してマルウェアを拡散したいと思っていたかもしれませんが、誰かがインターネット全体をスキャンするリソースを持っている場合、確かに彼自身がそれを行うためのリソースを持っています。たぶん彼は、侵害されたサーバーのリストにサーバーを追加し、それらすべてをボットネットとして一緒に使用したいだけかもしれません。彼は新しいサーバーで何をしますか?
編集:私が今日気付いたのは、セキュリティの学生として私は攻撃的な側面から物事を理解していたということです。サーバーをセットアップしたとき、私は防御側からペンテスターとして物事を知る必要性を本当に理解しています。これを読んでいる学生がいれば、防御面も理解できると思います。今からも学びます。
誰かが資格証明を総当たりして運を試しているようです。
はい、それが原因である可能性があります。インターネットに接続され、SSHをリッスンしているマシンは、特にroot
の場合、ログイン試行が行われます。
私の知る限り、公共の知識における最近のSSHの脆弱性はありません。
正しい。彼らはあなたが弱い、推測できるパスワードを持っていることを望んでいるだけです。
なぜ誰かが新しいサーバーを総当たりしてスキャンするスクリプトを実行するのですか? ...彼は新しいサーバーで何をしますか?
すべてのサーバーが有用であるため-ボットネットのメンバーとして、他に何もありません。侵入した場合、それを使用してインターネットをスキャンし、弱いSSH認証情報を探します。
一部のサーバーは価値があるので、クレジットカード情報を確認してください。 -そして、攻撃者は、それを所有するまで、あなたの価値があるかどうかを知りません。 可能性がある価値が低いという理由だけでサーバーを無視することはありません。
一部のサーバーは、公開されていない他のサーバーにアクセスできるためです。
より良いので。
学ぶべき教訓は、インターネット上のすべてのシステムが常にターゲットであるということです。セキュリティの学生として、それはあなたが期待することを学ばなければならないことです。