sshサーバーへのスキャンについて
GCPの無料枠サーバーに来る ssh アクセス元のIPアドレス
- sshguard でブロックしたIPアドレスについて、2台のサーバーで比較する
- 同一のIPアドレスだけを抽出する
sort <(ssh -i 秘密鍵 アカウント名@サーバーFQDN "journalctl -u sshguard -b | grep Nov | grep Blocking | grep -Eo '([[:digit:]]{1,3}\.){3}[[:digit:]]{1,3}' | sort | uniq") <(ssh サーバー省略名 "journalctl -u sshguard -b | grep Nov | grep Blocking | grep -Eo '([[:digit:]]{1,3}\.){3}[[:digit:]]{1,3}' | sort | uniq") | uniq -d
- これは、11月に sshguard でブロックした IPアドレスを journalログから抽出して比較しています。バラしたものを下に書いておきます。
- 11月1日〜9日までの2台のサーバーでブロックしたユニークなIP数は、
- サーバーA = 1909(個)
- サーバーB = 1815(個)
- この内、重複したIP= 297(個)
- 同一のIPアドレスだけを抽出する
ざっくり言うと、2000個のIPからssh不正アクセス試行があって、共通するのは10%でした。センサーを増やして観測しないといけませんが、不正試行するコンピューターの数は多いって事ですね。
sort \ <(ssh -i 秘密鍵 アカウント名@サーバーFQDN \ "journalctl -u sshguard -b | grep Nov | grep Blocking | grep -Eo '([[:digit:]]{1,3}\.){3}[[:digit:]]{1,3}' | sort | uniq"\ )\ <(ssh サーバー省略名 \ "journalctl -u sshguard -b | grep Nov | grep Blocking | grep -Eo '([[:digit:]]{1,3}\.){3}[[:digit:]]{1,3}' | sort | uniq"\ )\ | uniq -d```