SSHブルートフォース攻撃

SSH Brute Force Attack 攻撃手法

SSHサービスを狙ったログイン総当たり攻撃。Linuxサーバーへの代表的脅威。

概要

SSHブルートフォースは、Linux系Webサーバーが公開しているSSHポート(デフォルト22)に対する総当たりログイン攻撃です。インターネット上のLinuxサーバーは、立ち上げて数分以内に攻撃を受け始めるのが現実で、ログを見るとroot, admin, ubuntu, oracle等の典型的なユーザー名で毎秒のように試行されています。

攻撃が成功すると、Webサーバーは攻撃者の制御下に置かれ、マルウェア配布拠点・DDoS踏み台・暗号通貨マイニング等に悪用されます。多くの場合、侵害から発覚まで数週間〜数ヶ月を要し、その間に被害が拡大します。

防御の基本は (1) パスワード認証を無効化し公開鍵認証のみにする、(2) rootログインを禁止する、(3) ポート番号を変更する(攻撃の絶対数を減らす効果)、(4) 認証失敗を監視して攻撃元IPを自動ブロックする、です。

Scanrollはこう守る

Scanrollは認証ログを常時監視し、一定時間内に閾値を超えた認証失敗が発生した送信元IPを自動的にnftablesで遮断します。攻撃の規模(試行回数)に応じてブロック期間を自動調整し、誤検知時の解除もダッシュボードから操作できます。