ถ้าเราดูจาก /var/log/message หรือ /var/log/auth.log เราจะพบ message ประมาณนี้แสดงว่ามีคนตั้งในล้วงคอห่านแล้วล่ะครับ :P
Nov 21 21:46:49 mail sshd[1917]: Invalid user lead from 209.219.17.122
Nov 21 21:46:51 mail sshd[1922]: Invalid user romeo from 209.219.17.122
Nov 21 21:46:53 mail sshd[1927]: Invalid user julieta from 209.219.17.122
Nov 21 21:46:55 mail sshd[1932]: Invalid user sarolta from 209.219.17.122
Nov 21 21:46:58 mail sshd[1937]: Invalid user zemba from 209.219.17.122
Nov 21 21:47:00 mail sshd[1953]: Invalid user amar from 209.219.17.122
Nov 21 21:47:02 mail sshd[1958]: Invalid user jubar from 209.219.17.122
Nov 21 21:47:04 mail sshd[1963]: Invalid user mckey from 209.219.17.122
Nov 21 21:47:06 mail sshd[1968]: Invalid user notorius from 209.219.17.122
แต่ก็มีวิธีป้องกันอย่างง่ายๆ โดยใช้โปรแกรมชื่อ denyhosts เนื่องจากผมใช้ Gentoo ซึ่งมี denyhosts อยู่ใน portage อยู่แล้ว
ซึ่งก็ติดตั้งโดย
#emerge denyhosts
ถ้าหากยังไม่ได้ config ระบบ log ให้แยกแยะ log message โดยเฉพาะการ authentication ให้เก็บใน /var/log/auth.log ก็สามารถ config ตาม Syslog-ng (ผมใช้ syslog-ng)
วิธีการ config denyhosts สามารถอ่านได้จาก HOWTO Protect SSHD with DenyHosts
เครื่องที่พยายามเจาะเข้ามาจะถูกใส่ IP ไว้ในไฟล์ /etc/hosts.deny เช่นในเครื่องผมมีอยู่เยอะเลย
tail -f /etc/hosts.deny
sshd: 82.110.225.132
sshd: 202.167.234.97
sshd: 66.63.172.178
sshd: 61.30.187.58
sshd: 218.38.14.121
sshd: 210.66.37.245
sshd: 60.209.128.199
sshd: 61.57.4.200
sshd: 211.253.228.88
sshd: 209.219.17.122
กลับไปดูใน auth.log อีกทีพบว่ามันอดเข้ามาแล้ว...สม..
Nov 21 21:47:16 mail sshd[2029]: refused connect from 122.17.219.209.transedge.com (209.219.17.122)
No comments:
Post a Comment