Postfixとsshdに迷惑なログが来てた

sudo cat /var/log/maillog | grep auth

とか

sudo cat /var/log/secure | grep auth

とかしてみたら見た限り踏み台にもsshログインもされていないようだったけど迷惑なので対策した。

iptables -A INPUT -s "<host name or ip address>" -m limit --limit 1/s -j LOG --log-prefix "deny_host: "
iptables -A INPUT -s "<host name or ip address>" -j DROP

って感じで。

あと、ググってたらここが参考になりましたっていうかほぼ同じ感じでした。ありがとうございます。

同じようにブルートフォースアタックというアタックを受けていたようなので下記コマンドでユーザ名を見た。

sudo cat /var/log/secure* | grep sshd | grep "Invalid user" | cut -f 4 -d : | cut -f 4 -d ' ' | sort | uniq -c | sort -n -r -k 1 | less

結果

    335 admin
    201 oracle
    177 test
     99 nagios
     81 jenkins
     74 user
     72 teamspeak
     72 postgres
     71 zabbix
     69 alex
     68 jira
     67 aion
     61 info