6月某日。
自宅のPT2搭載Debianマシンに、海外サーバから不正ログインがされた現象が確認された。
ちなみにログインが確認されたのはシンガポールのIPアドレスであった。
なんで気が付いたかというと、自宅のマシンはほぼ毎日ログインを実施して、root権限でepgrec用のスクリプトを手動で実施しているのだが、その作業実施時にはhistoryを利用して過去に実施したコマンドを呼び出している。
今回、historyを呼び出したら、普段全く使わないコマンドが羅列されていた。
あわせてログの確認。

# cat /var/log/auth.log | grep sshd

実行すると出るわ出るわ、sshdへのアタック。
iptables利用して基本的には怪しいアクセス（パスワードアクセス失敗など）は、一回のログイン失敗でhost.denyに記載されるようdenyhost利用している。
今回はどういうわけかログインできたらしい。
[Read More!]