Kali Linuxでサイバー攻撃を試してみる3 - 環境導入+ ブルートフォース
<作業手順>
攻撃されるGCEのCentOS7の設定をしていきます。
6. GCEの設定変更
CentOSのSSHの設定とパスワード設定
新規ユーザーを作成、その後パスワード認証ができるようにしてからteratermでSSH接続します。
※GCEはデフォルトではパスワード認証ができなくなっています。
ユーザー:rottenfish
パスワード:sakana
にしてみました。
手順は下記です。
GCPの「VMインスタンス」に「SSH」のプルダウンメニューがあるので そこから「ブラウザウィンドウで開く」を選択します。
ルート権限でユーザーを追加します。
sudo su
adduser rottenfish
passwd rottenfish
ここでパスワードを求められるので、2回
と入力します(パスワードは表示されません) その後、下記を入力
いろいろ設定が書いてある文字列が表示されますが、そこから
PasswordAuthentication no
と書いてあるところを
PasswordAuthentication yes
と直して、パスワードでログインできるようにします。
("i" を押してインサートモード、no→yesに変えたら、エスケープタブを押して、その後":wq"で保存してください)
そのあとサービスを再起動するので、下記のように入力
systemctl restart sshd
次にこのユーザーでroot権限のコマンドを使えるようにしておきます。
visudo
スクリプトの最後尾に下記の設定を入力
("i" を押してインサートモード、入力が終わったら、エスケープタブを押して、その後":wq"で保存してください)
rottenfish ALL=(ALL) ALL
これができたら、Teratermを立ち上げてログインしてみます。
GCEで確保した静的IPアドレスを入力(今はもう開放してあります)
ユーザーネームとパスワードを入力
ログインできました。
CentOSのログを見てみる
SSHで接続できるようにしたところで、さっそくログを見てみてます。
Teratermでログインしたまま、下記の入力します。
※これはログイン等の認証の履歴をリアルタイムで表示してくれるコマンドです。
root権限で実行します。
sudo su
less +F /var/log/secure
ログが出ました.........と思ったら追加でどんどん出てきました。
どうやらアタックされているっぽいです。まだCentOSのインスタンスを作成して30分くらいしか経ってないのに・・・。
"138.197.89.186” のIPアドレスのところから(その他のIPアドレスの先から)パスワード認証アタックをかけられているようです。
user=root となっています。
もしもrootでパスワード認証可能にして置いたら、あっという間にインスタンスを乗っ取られそうですね。
ちなみに認証が失敗したIPアドレスを抽出するにはgrepをつかって、下記のように入力してみてください。
cat /var/log/secure | grep "Invalid user"
cat /var/log/secure | grep "Failed password"
ユーザー名が"Titanic!23"とか"Spider2017"とかに変えてあります。
"root"じゃないものもあるんですね。
"138.197.89.186”アドレスがどこから来ているのかを調べるときは、 探せばIPやドメインを調べるサイトがすぐ見つかります。Google検索もできます。
ちなみにGoogleで検索してみると、
DigitalOceanというニューヨークのクラウドインフラのプロバイダーでした。
ユーザーの誰かが無差別にアタックしているのでしょうか。