- blogs:
- cles::blog
2004/08/31
brutesshが蔓延?
仕事とプライベート合わせて結構な数のLinuxサーバの管理をしていたりするんですが、しばらく前(7月ごろ?)からほぼ全てのサーバに対してSSHの変なログが残るようになりました。
たとえば、こんな感じです
SSH Failed logins from these*1
admin/password from xxx.xxx.xxx.xxx: 4 Time(s)
guest/password from xxx.xxx.xxx.xxx: 2 Time(s)
root/password from xxx.xxx.xxx.xxx: 6 Time(s)
test/password from xxx.xxx.xxx.xxx: 4 Time(s)
user/password from xxx.xxx.xxx.xxx: 2 Time(s)
IPが常に変化しているので、変なツールが出回っているということは容易に予測がついたのですが、SSHは欠かさずにアップデートしているし、もともとPassword Authenticationを有効にしていないので、そのままになっていました。
† 正体はbrutessh
KANWAKYUDAI::Blog: SSHによる不正アクセス
LogWatchという解析ツールでほぼ毎日のようにサーバーのログを眺めているんですが、sshによる不正ログインを試みているのが、ここのところほぼ毎日記録されています。IPは毎回変わりますが、ユーザー名として使われるのはadmin、guest、root、test、userの5種類といつも決まっており、9回トライしているのも同じです。
偶然に閑話休題::blogさんでこの話題を見つけました。
結論はこれだそうです。
† これでもやられちゃうサーバがある
単純にパスワードのつけ方を工夫すれば*2これくらいのAttackは造作もないことではないでしょうか。
でも、現実にこういうものが蔓延するということは、この程度のツールにやられちゃうようなサーバが世間にはごろごろしているということの裏返しということになるわけですよね。
う?む。
このエントリは役に立ちましたか?
トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→http://blog.cles.jp/item/341
Trackbacks
sshdに攻撃からしら、/var/log/messageを見ていたら、こんなログがいっぱい。 Sep 12 08:29:09 ns sshd(pam_unix)[7506]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.108.8.140 ...
blog.nomadscafe.jp (2004/09/15 11:11)
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form
コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。
OpenID を使ってログインすることができます。
サイト内検索
Loading
- 「鋲螺」の読み方 (3)
- NP_DragAndDropUploader v1.2 (2)
- 覚醒の配達で目覚める朝 (2)
- シェルスクリプトで最新のフ... (1)
- 予期しない例外でRubyが落ち... (1)
1 . VMware vCenter Converter で 物理サーバの仮想化をやってみた (19169)
2 . ネットワーク接続時のパスワード保存先 (16822)
3 . JavaScriptでCSVを読み込む (14121)
4 . 「鋲螺」の読み方 (13204)
5 . NHK がネットを使ったラジオ配信を開始してた (13067)
2 . ネットワーク接続時のパスワード保存先 (16822)
3 . JavaScriptでCSVを読み込む (14121)
4 . 「鋲螺」の読み方 (13204)
5 . NHK がネットを使ったラジオ配信を開始してた (13067)
cles::blogについて
Calendar
Referrers
11295389
(W:2961 Y:2586 T:0375)
