SSH公開鍵認証ログインのみを許可してかつアクセス元IPを/etc/hosts.allowで絞っているため、ログインできないのだが、しつこく攻撃してくるやつらがいる。
こういったやつらの攻撃の場合ログに以下のように出力される
Apr 25 00:40:28 tk2-207-13289 sshd[24818]: refused connect from 181.114.222.233 (181.114.222.233) Apr 25 01:16:37 tk2-207-13289 sshd[25164]: refused connect from S010644d9e7079248.cn.shawcable.net (24.64.90.202)
このような不届きもののIPをgrepしてさらに出現回数を数えるスクリプトはこちら。
# grep refused /var/log/secure* | awk -F" " '{print $10}' | sort | uniq -c | sort -r -n
574 (159.226.170.42)
540 (14.63.221.39)
535 (120.33.121.155)
357 (158.69.203.183)
337 (159.226.125.73)
232 (196.47.178.191)
184 (115.110.139.134)
123 (112.33.7.18)
わずか一カ月の間に500回以上も不正アクセスしやがって!
まぁあの国なのでしょうがないか。