＜作業手順＞

攻撃されるGCEのCentOS7の設定をしていきます。

• ＜作業手順＞
• 6. GCEの設定変更
  • CentOSのSSHの設定とパスワード設定
  • CentOSのログを見てみる

6. GCEの設定変更

CentOSのSSHの設定とパスワード設定

新規ユーザーを作成、その後パスワード認証ができるようにしてからteratermでSSH接続します。

※GCEはデフォルトではパスワード認証ができなくなっています。

ユーザー：rottenfish

パスワード：sakana

にしてみました。

手順は下記です。

GCPの「VMインスタンス」に「SSH」のプルダウンメニューがあるので そこから「ブラウザウィンドウで開く」を選択します。

ルート権限でユーザーを追加します。

sudo su

adduser rottenfish

passwd rottenfish

ここでパスワードを求められるので、2回

sakana

と入力します（パスワードは表示されません） その後、下記を入力

vi /etc/ssh/sshd_config

いろいろ設定が書いてある文字列が表示されますが、そこから

PasswordAuthentication no

と書いてあるところを

PasswordAuthentication yes

と直して、パスワードでログインできるようにします。

（"i"　を押してインサートモード、no→yesに変えたら、エスケープタブを押して、その後":wq"で保存してください）

そのあとサービスを再起動するので、下記のように入力

systemctl restart sshd

次にこのユーザーでroot権限のコマンドを使えるようにしておきます。

visudo

スクリプトの最後尾に下記の設定を入力

（"i"　を押してインサートモード、入力が終わったら、エスケープタブを押して、その後":wq"で保存してください）

rottenfish ALL=(ALL) ALL

これができたら、Teratermを立ち上げてログインしてみます。

GCEで確保した静的IPアドレスを入力（今はもう開放してあります）

ユーザーネームとパスワードを入力

ログインできました。

CentOSのログを見てみる

SSHで接続できるようにしたところで、さっそくログを見てみてます。

Teratermでログインしたまま、下記の入力します。

※これはログイン等の認証の履歴をリアルタイムで表示してくれるコマンドです。

root権限で実行します。

sudo su

less +F /var/log/secure

ログが出ました.........と思ったら追加でどんどん出てきました。

どうやらアタックされているっぽいです。まだCentOSのインスタンスを作成して30分くらいしか経ってないのに・・・。

"138.197.89.186” のIPアドレスのところから（その他のIPアドレスの先から）パスワード認証アタックをかけられているようです。

user=root　となっています。

もしもrootでパスワード認証可能にして置いたら、あっという間にインスタンスを乗っ取られそうですね。

ちなみに認証が失敗したIPアドレスを抽出するにはgrepをつかって、下記のように入力してみてください。

cat /var/log/secure | grep "Invalid user"

cat /var/log/secure | grep "Failed password"

ユーザー名が"Titanic!23"とか"Spider2017"とかに変えてあります。

"root"じゃないものもあるんですね。

"138.197.89.186”アドレスがどこから来ているのかを調べるときは、 探せばIPやドメインを調べるサイトがすぐ見つかります。Google検索もできます。

ちなみにGoogleで検索してみると、

DigitalOceanというニューヨークのクラウドインフラのプロバイダーでした。

ユーザーの誰かが無差別にアタックしているのでしょうか。