るきへなWeblog

SSHD辞書攻撃とLogWatch

　SSH の辞書攻撃が流行っている。そのせいで、ログが大量に出る。攻撃対象IPも総当りなので、そこらじゅうのサーバで無駄なログが生成されているものと思われる。

　サーバには LogWatch を入れているので、長大な報告メールが作成されてしまう。しかも、デフォルト設定ではエラー部分しか作らないので、意図しない正常ログインを知ることができない。すげー意味のないログ加工である。一応、レポートレベルを上げると正常ログインも知ることができるが、長大なのが更に長大になってしまう。

　過去に CodeRed などが流行ったとき、アクセス数の半分以上が CodeRed というサーバもあった。なので今時のアクセスログ解析ツールでは、ウィルスによるアクセスはカウントしないようにできている。

　ということで LogWatch を最新版に入れ替えたら改善されているかな？ と思ったが、7.0 でも同様に長大メールを生成する。

　どうしたものか。

　あんまりやりたくなかったが、LogWatch のスクリプトに手を入れた。思いのほかカンタンで、変えたのは /etc/log.d/scripts/services/sshd の

####if (keys %IllegalUsers) {
if(0){

　だけ。

　とりあえず快適になった。