監視されているのも知らずに！

かれこれもう数ヶ月になろうか？私が管理しているとあるserverに、ポートスキャンをして、応答があるサービスに向かってアタックを開始した。それは、server乗っ取り系のアタックであるが、古典的な手法でのアタックである。こちらも知ってはいながら、どんなことをしてくるか？詳細にログを取りながら手口を伺っていたのですが、そろそろ手を打とうかという事で対応を行った。

どんなアタックを仕掛けてきたか？

まずは、私が契約しているグローバルIPに対してポートスキャンを確認した。次に、あるサイトの開発serverで、複数人で使用しているので、お分かりであろうかと思うのだが、SSHをあけているのだが、もちろん標準ポートではないですよ。先ほどのポートスキャンでＳＳＨサービスが応答してしまったので、それに向かってアタックを仕掛けてきた。

下記がそのアタックの一部抜粋したログである。スクリプトによる辞書アタックな典型的なアタック手法ですね。いろんな文言・言葉・名前などを送ってＩＤがあるかないか？を調べて居る模様が手に取るように分かりますね。このserverですよ、パスワード認証許可しておらず、公開鍵だけの認証にしているので、鍵を持ってこないとまず入れる事はないのです。また、前段にIPSがいてパケット単位で監視しているサーバになります。

Apr 1 03:48:01 stg sshd[32096]: input_userauth_request: invalid user beppie
Apr 1 03:54:12 stg sshd[32196]: input_userauth_request: invalid user berangere
Apr 1 04:00:22 stg sshd[32292]: input_userauth_request: invalid user berd
Apr 1 04:06:32 stg sshd[32395]: input_userauth_request: invalid user berenice
Apr 1 04:12:39 stg sshd[32487]: input_userauth_request: invalid user berenice
Apr 1 04:18:48 stg sshd[32582]: input_userauth_request: invalid user berenice
Apr 1 04:24:54 stg sshd[32677]: input_userauth_request: invalid user beret
Apr 1 04:31:01 stg sshd[302]: input_userauth_request: invalid user berg
Apr 1 04:37:07 stg sshd[400]: input_userauth_request: invalid user berger
Apr 1 04:43:14 stg sshd[499]: input_userauth_request: invalid user berget
Apr 1 04:49:18 stg sshd[595]: input_userauth_request: invalid user berk
Apr 1 04:55:22 stg sshd[688]: input_userauth_request: invalid user berna
Apr 1 05:01:25 stg sshd[791]: input_userauth_request: invalid user bernabe
Apr 1 05:07:29 stg sshd[889]: input_userauth_request: invalid user bernabeu
Apr 1 05:13:31 stg sshd[983]: input_userauth_request: invalid user bernadene
Apr 1 05:19:32 stg sshd[1078]: input_userauth_request: invalid user bernadette
Apr 1 05:25:34 stg sshd[1170]: input_userauth_request: invalid user bernadette
Apr 1 05:31:36 stg sshd[1262]: input_userauth_request: invalid user bernadette
Apr 1 05:37:37 stg sshd[1361]: input_userauth_request: invalid user bernadina
Apr 1 05:43:37 stg sshd[1453]: input_userauth_request: invalid user bernadine
Apr 1 05:49:37 stg sshd[1548]: input_userauth_request: invalid user bernadine
Apr 1 05:55:37 stg sshd[1640]: input_userauth_request: invalid user bernadine
Apr 1 06:01:38 stg sshd[1765]: input_userauth_request: invalid user bernard
Apr 1 06:07:39 stg sshd[1861]: input_userauth_request: invalid user bernard
Apr 1 06:13:39 stg sshd[1971]: input_userauth_request: invalid user bernarda
Apr 1 06:19:38 stg sshd[2066]: input_userauth_request: invalid user bernardina
Apr 1 06:25:39 stg sshd[2158]: input_userauth_request: invalid user bernardo
Apr 1 06:31:40 stg sshd[2250]: input_userauth_request: invalid user bernd
Apr 1 06:37:39 stg sshd[2342]: input_userauth_request: invalid user bernhard
Apr 1 06:43:40 stg sshd[2434]: input_userauth_request: invalid user berni
Apr 1 06:49:41 stg sshd[2526]: input_userauth_request: invalid user bernice
Apr 1 06:55:42 stg sshd[2618]: input_userauth_request: invalid user bernice
Apr 1 07:01:43 stg sshd[2721]: input_userauth_request: invalid user bernice
Apr 1 07:07:44 stg sshd[2813]: input_userauth_request: invalid user berri
Apr 1 07:13:45 stg sshd[2905]: input_userauth_request: invalid user berrie
Apr 1 07:19:48 stg sshd[3000]: input_userauth_request: invalid user bert
Apr 1 07:25:49 stg sshd[3092]: input_userauth_request: invalid user bertha
Apr 1 07:31:54 stg sshd[3187]: input_userauth_request: invalid user bertha
Apr 1 07:37:56 stg sshd[3279]: input_userauth_request: invalid user bertha
Apr 1 07:43:58 stg sshd[3371]: input_userauth_request: invalid user bertille
Apr 1 07:50:01 stg sshd[3463]: input_userauth_request: invalid user bertille
Apr 1 07:56:04 stg sshd[3556]: input_userauth_request: invalid user bertille
Apr 1 08:02:06 stg sshd[3661]: input_userauth_request: invalid user bertram
Apr 1 08:08:09 stg sshd[3756]: input_userauth_request: invalid user bertrand
Apr 1 08:14:12 stg sshd[3852]: input_userauth_request: invalid user bery
Apr 1 08:20:18 stg sshd[3949]: input_userauth_request: invalid user beryl
Apr 1 08:26:23 stg sshd[4042]: input_userauth_request: invalid user beryl
Apr 1 08:32:27 stg sshd[4134]: input_userauth_request: invalid user beryl
Apr 1 08:38:33 stg sshd[4226]: input_userauth_request: invalid user beryle
Apr 1 08:44:41 stg sshd[4318]: input_userauth_request: invalid user beshi
Apr 1 08:50:47 stg sshd[4410]: input_userauth_request: invalid user bess
Apr 1 08:56:54 stg sshd[4505]: input_userauth_request: invalid user bess
Apr 1 09:03:02 stg sshd[4608]: input_userauth_request: invalid user bess
Apr 1 09:09:12 stg sshd[4708]: input_userauth_request: invalid user bessie
Apr 1 09:15:25 stg sshd[4804]: input_userauth_request: invalid user bessie
Apr 1 09:21:38 stg sshd[4899]: input_userauth_request: invalid user bessie
Apr 1 09:27:50 stg sshd[4991]: input_userauth_request: invalid user bessy
Apr 1 09:34:04 stg sshd[5088]: input_userauth_request: invalid user best
Apr 1 09:40:18 stg sshd[5191]: input_userauth_request: invalid user bestman

どこからよ！？

って実IPいりですよｗ今回だけ特別ですからね。中国から発信されているっぽですね。以前は166.111.5.141だけだったのですが最近３カ所からアタックし始めたのでウザイので泳がせずブロックする事にしました。見て分かる通り、気づかれないように時間も数分に１度程度のアタックを継続して送ってくる奴っぽいですね。とはいえですね、茶番に付き合う気はないのでとっととブロックです。

泳がすこと数ヶ月、下記のアタック回数となってます。ひどいですよねぇ。

[root@stg ~]# cat /var/log/secure* | grep 166.111.5.141 | wc -l
334

[root@stg ~]# cat /var/log/secure* | grep 103.235.247.242 | wc -l

15281

IPひろばで調べて見ると！中華人民共和国ってでてますね。

ここら辺りからアクセスされているっぽです。まあ、プロバイダーの所在地でしょうけど。

ブログ的には、記事になる案件なのでいいのですが、個人的には人のサーバにログインしてやろうなんてけしからん訳です。皆様も個人的な趣味・趣向でクラックなんかしてると、国内には不正アクセス禁止法なるものが存在していますので、痛い目を見るかも知れませんよ。くれぐれもやめておいた方がいいですよ。

ブロックしたIPは？

ポリシーは詳しくは言えませんが、ブロックしたのはこのIPの32ビットマスクでブロックしてだけではありません。むしろ/32なんかでブロックする訳がありません。もう分かりましたよね？はい。まあそういう事ですね。

結論

ブロックして、１時間程度で３つIPからのアタックは停止したようです。向こうからしてみれば、IPが変わったんだろう程度だろうですが、アタックしている事もログを取って監視されているという事をお忘れ無く！

The post 中国からのアタック！監視されているのも知らずに！ first appeared on ～下町物語～.

昨日作成して立ち上げたインスタンスですが、朝まで起動していたのですが、朝までに６４回sshの不正アクセスがありました。何ちゅうipアドレスを引き当てちゃったんだよｗ

スナップショット取って、もう一回インスタンス立て直そうかなと思います。まだ、朝まで処理流していたのですが、処理が終わらなかったので途中で止めましたが、不正アクセスがなかったら、そのまま流しっぱにしたかったですけど。

後３０パーセント位残す所まで処理が進んで行ったのですが、また、夜起動して完全にipを限定し隔離した後処理する感じにしたいと思います。しかし、上手くいかねーっす。

The post 昨日作成したインスタンス・・・・org first appeared on ～下町物語～.