영 집안 네트웍이 이상하길래 접속 시도 로그를 봤더니, 중국에서 접속시도가 계속 있습니다. 몇일 됐다고 –; 이런서버에도 관심가지는지…
아무튼 영향을 받고 있으므로, 일단 재부팅하여, 잠시 쉬게 해주고, 급히 뭐라도 깔아봅니다..
—— 하루에 거의 2분꼴로 다른 IP에서 공격이 들어오네요.. –; 대부분 아시아, 중국홍콩, 대만, 그리고 네덜란드 미국, 호주, 각종 나라에서 다 들어오려고 하는군요.. ssh포트 열어뒀더니. 아주 어중이 떠중이 다들어오려합니다. 계정도 제각각으로 다 시도해보는군요. admin, root, vpn, huawei, … –;
급해서 그냥 auth.log보고 시도되는 IP들 그냥 ufw로 막아버렸습니다. –; 하다하다 지치면 자동화툴 굴려야겠네요… 일단 차단 IP목록 공유차원에서 적어봅니다.
차단 명령어는 아래처럼 썼습니다. iptables로 직접 해도되는데, 이게 편하네요.
ufw insert 1 deny from <ip> to any port <port>
[1] 22 DENY IN 210.45.114.62
[ 2] 22 DENY IN 221.194.44.212
[ 3] 22 DENY IN 121.50.169.248
[ 4] 22 DENY IN 124.68.10.20
[ 5] 22 DENY IN 118.175.36.89
[ 6] 22 DENY IN 210.211.126.193
[ 7] 22 DENY IN 185.152.2.23
[ 8] 22 DENY IN 183.152.2.23
[ 9] 22 DENY IN 58.57.65.114
[10] 22 DENY IN 79.165.2.209
[11] 22 DENY IN 193.213.204.133
[12] 22 DENY IN 221.194.47.0/24
[13] 22 DENY IN 46.246.41.78
[14] 22 DENY IN 114.255.78.181
[15] 22 DENY IN 59.45.175.0/24
[16] 22 DENY IN 121.18.238.0/24
[17] 22 DENY IN 185.2.82.187
[18] 22 DENY IN 59.63.188.36
[19] 22 DENY IN 163.172.119.161
[20] 22 DENY IN 116.31.116.9
[21] 22 DENY IN 182.100.67.120
———- 6/3일 쉴새없이 몰아칩니다… IP차단 목록 추가합니다. 하루에 20~30건이 꾸준히 시도되네요.. 여러 IP가 겹치는 경우는 거의 없고, 매번 새로운 IP로 유형이 2~3가지로 번갈아가면서 나옵니다. 공격지는 한군데인것 같은데 말이죠..
[ 1] 22 DENY IN 124.88.67.41
[ 2] 22 DENY IN 114.32.148.24
[ 3] 22 DENY IN 106.57.172.134
[ 4] 22 DENY IN 39.64.109.115
[ 5] 22 DENY IN 113.194.50.160
[ 6] 22 DENY IN 72.203.98.9
[ 7] 22 DENY IN 103.207.39.217
[ 8] 22 DENY IN 89.248.167.131
[ 9] 22 DENY IN 104.197.75.192
[10] 22 DENY IN 182.33.229.11
[11] 22 DENY IN 201.177.146.205
[12] 22 DENY IN 186.56.128.127
[13] 22 DENY IN 118.26.30.5
[14] 22 DENY IN 213.110.204.214
[15] 22 DENY IN 139.162.75.112
[16] 22 DENY IN 181.113.165.250
[17] 22 DENY IN 125.253.116.85
[18] 22 DENY IN 91.197.232.11
[19] 22 DENY IN 193.201.224.215
[20] 22 DENY IN 170.250.130.153
[21] 22 DENY IN 125.76.182.196
[22] 22 DENY IN 179.96.142.111
[23] 22 DENY IN 162.213.3.221
[24] 22 DENY IN 49.248.112.46
[25] 22 DENY IN 181.25.39.10
——– 2018년 8월 11일 서버 복구후에 새로 접속 로그 보고 세팅한 목록과 이전 목록을 비교해봅니다. 1년정도 사이에 공격지 변화가 있는 확인해 볼수 있겠네요. 이젠 그냥 다 막으렵니다. ssh접속 하는 쪽이 web에 관심있어서 들어오는것도 아닐테고.
Anywhere DENY 193.201.224.214 ==> 기존 193.201.224.215
Anywhere DENY 221.194.44.211 ==> 새로 추가
Anywhere DENY 118.212.143.43 ==> 새로 추가
Anywhere DENY 122.226.181.164 ==>
Anywhere DENY 181.100.67.235
Anywhere DENY 58.82.166.4
Anywhere DENY 122.226.181.167
Anywhere DENY 218.65.30.61
Anywhere DENY 221.194.47.239
Anywhere DENY 202.45.147.148
Anywhere DENY 111.7.177.239
Anywhere DENY 112.85.42.146
Anywhere DENY 206.189.114.117
Anywhere DENY 91.236.178.157
Anywhere DENY 185.156.42.150
Anywhere DENY 167.99.215.188
Anywhere DENY 115.238.245.8
Anywhere DENY 182.100.67.4
Anywhere DENY 115.238.245.2
Anywhere DENY 121.18.238.115
Anywhere DENY 121.18.238.123
Anywhere DENY 122.226.181.166
Anywhere DENY 42.7.26.15