BLOGTIMES
2004/08/31

brutesshが蔓延?

  ssh  intrusion 
このエントリーをはてなブックマークに追加

仕事とプライベート合わせて結構な数のLinuxサーバの管理をしていたりするんですが、しばらく前(7月ごろ?)からほぼ全てのサーバに対してSSHの変なログが残るようになりました。

たとえば、こんな感じです

SSH Failed logins from these*1
admin/password from xxx.xxx.xxx.xxx: 4 Time(s)
guest/password from xxx.xxx.xxx.xxx: 2 Time(s)
root/password from xxx.xxx.xxx.xxx: 6 Time(s)
test/password from xxx.xxx.xxx.xxx: 4 Time(s)
user/password from xxx.xxx.xxx.xxx: 2 Time(s)

IPが常に変化しているので、変なツールが出回っているということは容易に予測がついたのですが、SSHは欠かさずにアップデートしているし、もともとPassword Authenticationを有効にしていないので、そのままになっていました。

正体はbrutessh

KANWAKYUDAI::Blog: SSHによる不正アクセス

LogWatchという解析ツールでほぼ毎日のようにサーバーのログを眺めているんですが、sshによる不正ログインを試みているのが、ここのところほぼ毎日記録されています。IPは毎回変わりますが、ユーザー名として使われるのはadmin、guest、root、test、userの5種類といつも決まっており、9回トライしているのも同じです。

偶然に閑話休題::blogさんでこの話題を見つけました。
結論はこれだそうです。

これでもやられちゃうサーバがある

単純にパスワードのつけ方を工夫すれば*2これくらいのAttackは造作もないことではないでしょうか。

でも、現実にこういうものが蔓延するということは、この程度のツールにやられちゃうようなサーバが世間にはごろごろしているということの裏返しということになるわけですよね。

う?む。

  • *1: IPは伏せてあります。
  • *2: 工夫というかmkpasswdで作ったパスワードしか使わないってだけですけど。

トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/341
Trackbacks
sshdに攻撃からしら、/var/log/messageを見ていたら、こんなログがいっぱい。 Sep 12 08:29:09 ns sshd(pam_unix)[7506]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.108.8.140 ...
blog.nomadscafe.jp (2004/09/15 11:11)
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン