仕事終わりにSNSをやろうとしたら、鯖が重くて繋がらなかった。つらい。原因がわからずにVPSのコンパネ開いたらさ、気づいたんだよね。22番ポートが開いていたことに。(アホ) ……まぁそこで話は終わったんだけど、さすがに何もしないのもね。ということで、いろいろコマンドを打って確認してみたわよ。 ## ログインの形跡を調べる ```shell sudo lastb last ``` `lastlog`で全部のアカウントのログイン形跡を調べる。ついでに`last`で直近のログインもみた。ログイン周りは大丈夫そうだった。 ## セキュアログで履歴を確認 ```shell sudo cat /var/log/auth.log | grep "Failed" sudo grep "sshd" /var/log/auth.log sudo grep "Failed" /var/log/auth.log sudo grep "Accepted" /var/log/auth.log ``` セキュリティログがいっぱい出てきて怖くなった。どっから調べればええねん……。わかったことはたくさんログが出るくらい不正ログがあったことくらい。 幸いログイン成功はしてなかった。よかった。 ### 時間を絞って大まかな攻撃数を調べる ```shell grep '^2025-08-29T07:' /var/log/auth.log | grep sshd | wc -l ``` 時刻の部分は好きに入れてね。日付の部分の`sshd`を探して数えてる感じやね。これで400件とでた。こわいよー。 ### アクセスしているIPを調べる ```shell grep '^2025-08-29T07:' /var/log/auth.log | \ grep -E 'Failed|Invalid' | \ awk '{ ip=""; for(i=1;i<=NF;i++){ if($i=="from"){ip=$(i+1)} if($i ~ /^rhost=/){split($i,a,"="); ip=a[2]} } if(ip!=""){print ip} }' | sort | uniq -c | sort -nr | head ``` これで調べたら3回が最高だった。つまり、いろんな場所から総当たりを食らってた。こわい。ChatGPTいわく「ログ書き込み+sshd のプロセス起動が連続して、 CPU やディスク I/O を食ってサーバが重く感じた」が原因らしい。やっぱり総当たりだったか……。 ## 最後に とりあえず、今回行ったコマンドたちをメモしておいた。もう2度と使わないようにしたいわね……。TLで慌てふためいた私にいろいろアドバイスをしてくれてありがとう!助かりました! ## リンク - [サーバーへ不正アクセスされていないかを調べるには何をしたらいいですか|GMOクラウド|ALTUS サポート](https://helpcenter.gmocloud.com/altus/s/article/ch-4270) - [【Linux】【log】Linuxサーバ大活躍コマンド・ログ(運用保守編)](https://zenn.dev/kira_n/articles/72a177a41dc2e1)