このサーバは、sshdが動作しており、インターネットから直接アクセスできるサブネットに配置されている。
パブリックIPアドレスも持っていて、secure.logには大量のsshアクセス試行が記録されていたりしていた。
要は、EC2にトロイの木馬的なものが仕込まれていて、DNS照会を大量にしていた?からかGarudDutyで検出された模様
secure.logを見てみると次のようなアクセスが大量に記録されており、まさに「static.jhstelecom.com.br 」を名前解決しようとして失敗しているため出力されているみたいだった。
|
1 |
Sep 4 12:48:27 ip-10-2-2-19 sshd[643]: reverse mapping checking getaddrinfo for 19.113.233.170.static.jhstelecom.com.br [170.233.113.19] failed - POSSIBLE BREAK-IN ATTEMPT! |
こちらの対処をしてたぶん解決した
|
1 |
SSH サーバーの /etc/ssh/sshd_config に UseDNS no と GSSAPIAuthentication no が設定されていることを確認して、sshd を再起動します。 |
https://access.redhat.com/ja/solutions/742733
ちなみに、static.jhstelecom.com.brをdigするとGarudDutyで検出された