私の EC2 インスタンスで不審なアクティビティが報告され、次のメールを受け取りました:
インターネット上のリモートホストをスキャンしてセキュリティの脆弱性を探す行為に関与している疑いがあります。この種の行為は AWS 利用規定 (詳しくはこちら)。ご参照いただけるよう、元のレポートを下記に掲載しました。
報告されたアクティビティを停止するための措置を講じ、講じた是正措置の詳細をこのメールに直接返信してください。これらの報告に記載されているアクティビティが不正行為ではないと思われる場合は、使用事例の詳細をこのメールに返信してください。
このアクティビティに気付かない場合は、外部の攻撃者によって環境が侵害されているか、脆弱性によりマシンが意図しない方法で使用されている可能性があります。
何が起こったのか確認する方法がわかりません。ルート パスワードを変更しましたが、同じアクティビティ レポートが表示されます。
以下はログです:
Full logs:
(time in UTC)=2020-12-08T23:59:13 (attacker's IP)=myip (IP being scanned)=91^208^184^50 (TCP port being scanned)=523
(time in UTC)=2020-12-08T23:59:21 (attacker's IP)=myip (IP being scanned)=78^128^99^30 (TCP port being scanned)=2025
(time in UTC)=2020-12-08T23:59:28 (attacker's IP)=myip (IP being scanned)=140^238^172^100 (TCP port being scanned)=841
(time in UTC)=2020-12-08T23:59:42 (attacker's IP)=myip (IP being scanned)=219^91^85^19 (TCP port being scanned)=10699
(time in UTC)=2020-12-08T23:59:54 (attacker's IP)=myip (IP being scanned)=78^128^99^30 (TCP port being scanned)=1298
(time in UTC)=2020-12-09T23:57:40 (attacker's IP)=myip (IP being scanned)=219^91^85^19 (TCP port being scanned)=313
(time in UTC)=2020-12-09T23:57:43 (attacker's IP)=myip (IP being scanned)=219^91^62^21 (TCP port being scanned)=21735
(time in UTC)=2020-12-09T23:57:43 (attacker's IP)=myip (IP being scanned)=91^203^192^19 (TCP port being scanned)=984
(time in UTC)=2020-12-09T23:57:52 (attacker's IP)=myip (IP being scanned)=185^178^44^132 (TCP port being scanned)=18263
(time in UTC)=2020-12-09T23:57:53 (attacker's IP)=myip (IP being scanned)=140^238^172^100 (TCP port being scanned)=1389
別のログ:
Logs:
------------------------------------------------------------------------
Dec 9 01:01:55 kmh-wmh-003-nbg03 sshd[698]: Invalid user test from myip port 44682
Dec 9 01:01:55 kmh-wmh-003-nbg03 sshd[698]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=myip
Dec 9 01:01:57 kmh-wmh-003-nbg03 sshd[698]: Failed password for invalid user test from myip port 44682 ssh2
Dec 9 01:01:57 kmh-wmh-003-nbg03 sshd[698]: Received disconnect from myip port 44682:11: Bye Bye [preauth]
Dec 9 01:01:57 kmh-wmh-003-nbg03 sshd[698]: Disconnected from myip port 44682 [preauth]
Dec 9 01:18:16 kmh-wmh-003-nbg03 sshd[2480]: Invalid user pppuser from myip port 41660
Dec 9 01:18:16 kmh-wmh-003-nbg03 sshd[2480]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=myip
Dec 9 01:18:17 kmh-wmh-003-nbg03 sshd[2480]: Failed password for invalid user pppuser from myip port 41660 ssh2
Dec 9 01:18:17 kmh-wmh-003-nbg03 sshd[2480]: Received disconnect from myip port 41660:11: Bye Bye [preauth]
Dec 9 01:18:17 kmh-wmh-003-nbg03 sshd[2480]: Disconnected from myip port 41660 [preauth]
Dec 9 01:21:25 kmh-wmh-003-nbg03 sshd[2792]: Invalid user master from myip port 38852
Dec 9 01:21:25 kmh-wmh-003-nbg03 sshd[2792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=myip
インスタンスを使用して SSH に接続することはないので、すべてのユーザーおよびすべてのアプリ/プロセスからのすべての送信 SSH トラフィックをブロックしたいだけです。どうすればいいですか?
おそらく、iptables を使用してポート 22 へのすべての送信トラフィックをブロックすることはできますが、ポート 22 を使用するすべての ssh をブロックすることはできないのではないでしょうか。他に効果的な方法はありますか。
答え1
それはそれほど簡単ではありません。サーバーが侵害された場合は、調査する必要があります。
まず、サービス以外のすべての着信トラフィックをブロックします (例: ポート 80 および 443)。サービス以外のすべてのソースからの ssh へのアクセスをブロックします。
次に、clamav、chkrootkit、rkhunter などのソフトウェアをインストールして実行することをお勧めします。これらのソフトウェアは、マシンをスキャンして、いくつかのよく知られたエクスプロイトを識別できます。
3番目に、実行中のプロセスやログなどを確認します。
4番目に、マシンにいくつかの強化技術を適用します
答え2
「セキュリティ グループ」を確認し、ポート 22 / SSH サービスの受信ルールがある場合は、それを削除します。
ssh を実行したことがない場合は、どのようなサービスを実行していますか?