- blogs:
- cles::blog
2004/08/31
brutesshが蔓延?
ssh intrusion
仕事とプライベート合わせて結構な数のLinuxサーバの管理をしていたりするんですが、しばらく前(7月ごろ?)からほぼ全てのサーバに対してSSHの変なログが残るようになりました。
たとえば、こんな感じです
SSH Failed logins from these*1
admin/password from xxx.xxx.xxx.xxx: 4 Time(s)
guest/password from xxx.xxx.xxx.xxx: 2 Time(s)
root/password from xxx.xxx.xxx.xxx: 6 Time(s)
test/password from xxx.xxx.xxx.xxx: 4 Time(s)
user/password from xxx.xxx.xxx.xxx: 2 Time(s)
IPが常に変化しているので、変なツールが出回っているということは容易に予測がついたのですが、SSHは欠かさずにアップデートしているし、もともとPassword Authenticationを有効にしていないので、そのままになっていました。
† 正体はbrutessh
KANWAKYUDAI::Blog: SSHによる不正アクセス
LogWatchという解析ツールでほぼ毎日のようにサーバーのログを眺めているんですが、sshによる不正ログインを試みているのが、ここのところほぼ毎日記録されています。IPは毎回変わりますが、ユーザー名として使われるのはadmin、guest、root、test、userの5種類といつも決まっており、9回トライしているのも同じです。
偶然に閑話休題::blogさんでこの話題を見つけました。
結論はこれだそうです。
† これでもやられちゃうサーバがある
単純にパスワードのつけ方を工夫すれば*2これくらいのAttackは造作もないことではないでしょうか。
でも、現実にこういうものが蔓延するということは、この程度のツールにやられちゃうようなサーバが世間にはごろごろしているということの裏返しということになるわけですよね。
う?む。
トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/341
Trackbacks
sshdに攻撃からしら、/var/log/messageを見ていたら、こんなログがいっぱい。 Sep 12 08:29:09 ns sshd(pam_unix)[7506]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.108.8.140 ...
blog.nomadscafe.jp (2004/09/15 11:11)
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form
コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。
OpenID を使ってログインすることができます。
サイト内検索
検索ワードランキング
へぇが多いエントリ
閲覧数が多いエントリ
1 . アーロンチェアのポスチャーフィットを修理(114212)
2 . 福岡銀がデマの投稿者への刑事告訴を検討中(112766)
3 . 年次の人間ドックへ(112218)
4 . 2023 年分の確定申告完了!(1つめ)(111783)
5 . 三菱鉛筆がラミーを買収(111662)
2 . 福岡銀がデマの投稿者への刑事告訴を検討中(112766)
3 . 年次の人間ドックへ(112218)
4 . 2023 年分の確定申告完了!(1つめ)(111783)
5 . 三菱鉛筆がラミーを買収(111662)
cles::blogについて
Referrers
22019374
(W:5553 Y:2215 T:3338)
