あなたのサーバー乗っ取られてません？

サーバーを立てる理由は千差万別十人十色ですが気をつけて運用しないと無料で使われ続けてサーバーが重くなったり、最悪の場合、攻撃の踏み台サーバーとして利用されたり、勝手にフィッシングサイト設置されて、警察が家に来たりします。

rootじゃなくて新しいユーザーを作って、専用のsshキーを作ったり、ファイヤーウォールでSSH接続できる場所を絞ったり、fail2ban入れて、ウザい攻撃をBANしたりと防御するのはごもっともなんだが、一時的に動かしたいサーバーでそこまでやるのもなぁと腰が重いのもわかる。

そんなあなた！これだけはやっとけ。(Ubuntu版)

ログインしたらまずはlast

last

これで直近のログイン履歴が見える。普段rootでしか作業してないのに知らないユーザーでログインしてたらアウト！裏ユーザー作られちゃってます。

sshログイン履歴を見る

cat /var/log/auth.log  | grep "sshd" | grep "Accepted"

まず自分のIPを確認しておこう。→cman.jp
普通のプロバイダー契約だとたまに変わるから上のログイン時間と照らし合わせて確認するんだ！自分のIPアドレス以外がAcceptedしてたらアウト！

Feb 19 13:17:44 cccc sshd[463099]: Accepted publickey for root from 自分のIPアドレス port 56247 ssh2: RSA ******

ちなみに自分のサーバーは4分に1回知らないIPからssh接続を試されてる。恐怖！

Feb 19 14:10:36 cccc sshd[463318]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=124.89.116.XXX  user=root
Feb 19 14:10:38 cccc sshd[463318]: Failed password for root from 124.89.116.XXX port 52689 ssh2
Feb 19 14:10:39 cccc sshd[463318]: Connection closed by authenticating user root 124.89.116.XXX port 52689 [preauth]
Feb 19 14:10:48 cccc sshd[463320]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=114.33.167.XXX  user=root
Feb 19 14:10:50 cccc sshd[463320]: Failed password for root from 114.33.167.XXX port 60096 ssh2
Feb 19 14:12:45 cccc sshd[463320]: fatal: Timeout before authentication for 114.33.167.XXX port 60096
Feb 19 14:16:04 cccc sshd[463323]: Invalid user germanyqa from 49.247.172.XXX port 56314
Feb 19 14:16:04 cccc sshd[463323]: pam_unix(sshd:auth): check pass; user unknown
Feb 19 14:16:04 cccc sshd[463323]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=49.247.172.XXX 
Feb 19 14:16:05 cccc sshd[463323]: Failed password for invalid user germanyqa from 49.247.172.XXX port 56314 ssh2
Feb 19 14:16:07 cccc sshd[463323]: Received disconnect from 49.247.172.XXX port 56314:11: Bye Bye [preauth]
Feb 19 14:16:07 cccc sshd[463323]: Disconnected from invalid user germanyqa 49.247.172.XXX port 56314 [preauth]

自分のIPがコロコロ変わって面倒って人はプロバイダに固定IPサービスってのがあったりするぞ。

コマンド履歴を確認

↑矢印

ヘボハッカーだったらコマンド履歴を残してる可能性もあるからな！ログインしたら矢印の↑を押して見覚えのないコマンドが現れないか確認するんだ！見知らぬコマンドが現れたらアウトや！

お前誰や！

who

なんか重いぞ？誰か作業してる？そんな時はwhoだ。今、ログインしているユーザー一覧が表示されるぞ！自分しか使わないのに自分以外が表示されたら今そこにハッカーがいる！アウト&怖すぎ！詳細はここ見てな。

whoコマンドの詳細まとめました【Linuxコマンド集】

重いのはなぜ

top

重いけどwhoで出てくるのは自分だけ。そんな時はtopだ。起動したサービス名ごとに消費してるCPUやメモリーが確認できるぞ。普段から実行する癖をつけておけば、見たことないサービスが起動してないか気付くこともできるぞ！詳細はこっちで見てな。

Linuxのtop コマンドの見方 ~メモリやload averageの単位,定義,目安~

それでも重いぞ！

df -h

ここまで来ても重い場合、ストレージが何かに食われてる可能性が高い。格安VPSを借りている場合HDD20GBなんてのもあるからな。ストレージが合計90％以上使われてたらストレージを増やすか、無駄なリソースを削除しましょう。dfコマンドを駆使して重いリソースを探すんだ。詳細はこっち見てな。

知っておくとちょっと便利！ディスクの空き容量を確認する df コマンド | SIOS Tech. Lab

あとがき

まぁ、こんなことにならぬよう予防線を張るのがプロのサーバー屋さんなのだが、ハッカーの仕業じゃないにしてもちゃんと管理して警察沙汰になるのは防ごうな。

コミュニティ紹介

Crypto流星街(Crypto Meteor City)は、仮想通貨コミュニティおよび投資グループです。
Crypto流星街は常に新しいコミュニティメンバーを募集しています。
仮想通貨(暗号資産)やNFTについて質問や困ったことがあればお気軽に初心者部屋へお越しください。

Crypto流星街 初心者部屋🔰オープンチャット

CRYPTO流星街　初心者部屋🔰　仮想通貨

Crypto流星街 ディスコードサーバー

Join the CRYPTO 流星街 Discord Server!

Crypto流星街 コミュニティ紹介note