先日紹介したサーバー は、メンテナンスのため、外部からsshで接続できるようにしています。昨日、ふとADSLモデムを見たところ、アクセスしていないはずなのに、DATAランプが点滅を続け、サーバーのHDDのアクセスランプも点滅していました。ログを見ると、激しい ブルートフォース攻撃 にあっていることがわかりました。1日に18211回ほどアタックされています。

root@alice:/var/log# grep Failed auth.log.0 | wc -l
18211

また、このサーバーは HDDをこまめに停止するようにしています が、攻撃を受けている間はほとんど停止していないことがわかりました。
/var/log/syslogの2009/12/06 16時台のログ：

Dec  6 16:08:58 alice noflushd[647]: Spinning down /dev/hda.
Dec  6 16:09:03 alice noflushd[647]: Spinning up /dev/hda after 0 minutes.
Dec  6 16:17:01 alice /USR/SBIN/CRON[9727]: (root) CMD (   run-parts --report /etc/cron.hourly)
Dec  6 16:19:06 alice noflushd[647]: Spinning down /dev/hda.
Dec  6 16:19:12 alice noflushd[647]: Spinning up /dev/hda after 0 minutes.
Dec  6 16:29:15 alice noflushd[647]: Spinning down /dev/hda.
Dec  6 16:29:20 alice noflushd[647]: Spinning up /dev/hda after 0 minutes.
Dec  6 16:39:23 alice noflushd[647]: Spinning down /dev/hda.
Dec  6 16:39:29 alice noflushd[647]: Spinning up /dev/hda after 0 minutes.
Dec  6 16:49:32 alice noflushd[647]: Spinning down /dev/hda.
Dec  6 16:49:37 alice noflushd[647]: Spinning up /dev/hda after 0 minutes.
Dec  6 16:59:40 alice noflushd[647]: Spinning down /dev/hda.
Dec  6 16:59:46 alice noflushd[647]: Spinning up /dev/hda after 0 minutes.

そこで昨夜、sshdのポート番号を変更することにしました。ポート番号変更の指針 に従い、新しい番号は10045にしました。変更後、今日のログは次のようになっています。

root@alice:/var/log# grep Failed auth.log | wc -l
0

/var/log/syslogの2009/12/07 16時台のログ：

Dec  7 16:17:01 alice /USR/SBIN/CRON[9657]: (root) CMD (   run-parts --report /etc/cron.hourly)
Dec  7 16:17:03 alice noflushd[647]: Spinning up /dev/hda after 49 minutes.
Dec  7 16:27:06 alice noflushd[647]: Spinning down /dev/hda.

アタックは1件もなく、HDDが1時間のうち49分も停止しています。素晴らしい効果です。しばらくこれで使ってみようと思います。