2006/06/03
Document Actions
ssh アタック
ウザい、ウザすぎますよ。
- Category(s)
- 鯖立て
ヲレ鯖では遠隔操作用としてsshを立ち上げてるのですがこんな辺鄙なとこにもブルートフォースが…。以下その痕跡。アタックするアフォIPは晒しじゃ晒し。
2006-06-03 05:52:35.695860500 input_userauth_request: illegal user username
2006-06-03 05:52:35.696020500 Failed password for illegal user username from 220.132.113.163 port 49012 ssh2
2006-06-03 05:52:35.785452500 Received disconnect from 220.132.113.163: 11: Bye Bye
2006-06-03 05:52:36.501394500 input_userauth_request: illegal user administrator
2006-06-03 05:52:36.501558500 Failed password for illegal user administrator from 220.132.113.163 port 49466 ssh2
2006-06-03 05:52:36.600284500 Received disconnect from 220.132.113.163: 11: Bye Bye
2006-06-03 05:52:37.361909500 input_userauth_request: illegal user library
2006-06-03 05:52:37.362088500 Failed password for illegal user library from 220.132.113.163 port 49488 ssh2
2006-06-03 05:52:37.442199500 Received disconnect from 220.132.113.163: 11: Bye Bye
2006-06-03 05:52:38.455333500 input_userauth_request: illegal user test
2006-06-03 05:52:38.455496500 Failed password for illegal user test from 220.132.113.163 port 49597 ssh2
2006-06-03 05:52:38.544701500 Received disconnect from 220.132.113.163: 11: Bye Bye
2006-06-03 05:52:39.319296500 Failed password for root from 220.132.113.163 port 49629 ssh2
2006-06-03 05:52:39.407314500 Received disconnect from 220.132.113.163: 11: Bye Bye
2006-06-03 05:52:40.204400500 Failed password for root from 220.132.113.163 port 50011 ssh2
2006-06-03 05:52:40.289453500 Received disconnect from 220.132.113.163: 11: Bye Bye
まぁ、公開鍵を持ってる+パスが一致しない限り侵入できないのでまーたやってやがるバーカバーカと生暖かい目で見守ることが出来る訳ですが、それにしてもウザい。
と言うわけで、↑のログが出てきたIPからのアクセスを一定期間tcpserverでブロックするようなカラクリを思案中。というかググり中。
あ。ログからIPアドレス引っかけるんだから、ついでにかき集めてどっかで晒すかw
2006-06-03 05:52:35.695860500 input_userauth_request: illegal user username
2006-06-03 05:52:35.696020500 Failed password for illegal user username from 220.132.113.163 port 49012 ssh2
2006-06-03 05:52:35.785452500 Received disconnect from 220.132.113.163: 11: Bye Bye
2006-06-03 05:52:36.501394500 input_userauth_request: illegal user administrator
2006-06-03 05:52:36.501558500 Failed password for illegal user administrator from 220.132.113.163 port 49466 ssh2
2006-06-03 05:52:36.600284500 Received disconnect from 220.132.113.163: 11: Bye Bye
2006-06-03 05:52:37.361909500 input_userauth_request: illegal user library
2006-06-03 05:52:37.362088500 Failed password for illegal user library from 220.132.113.163 port 49488 ssh2
2006-06-03 05:52:37.442199500 Received disconnect from 220.132.113.163: 11: Bye Bye
2006-06-03 05:52:38.455333500 input_userauth_request: illegal user test
2006-06-03 05:52:38.455496500 Failed password for illegal user test from 220.132.113.163 port 49597 ssh2
2006-06-03 05:52:38.544701500 Received disconnect from 220.132.113.163: 11: Bye Bye
2006-06-03 05:52:39.319296500 Failed password for root from 220.132.113.163 port 49629 ssh2
2006-06-03 05:52:39.407314500 Received disconnect from 220.132.113.163: 11: Bye Bye
2006-06-03 05:52:40.204400500 Failed password for root from 220.132.113.163 port 50011 ssh2
2006-06-03 05:52:40.289453500 Received disconnect from 220.132.113.163: 11: Bye Bye
まぁ、公開鍵を持ってる+パスが一致しない限り侵入できないのでまーたやってやがるバーカバーカと生暖かい目で見守ることが出来る訳ですが、それにしてもウザい。
と言うわけで、↑のログが出てきたIPからのアクセスを一定期間tcpserverでブロックするようなカラクリを思案中。というかググり中。
あ。ログからIPアドレス引っかけるんだから、ついでにかき集めてどっかで晒すかw
by
maru
—
posted at
2006-06-03 11:27
last modified
2006-06-22 11:37
- The URL to Trackback this entry is:
- http://www.maruz.net/blog/14/tbping
うぐぐ。。
わしにはサッパリ分からんお話ぢゃ。。(TдT)
IPホイホイ(w
Linuxならipt_recent、FreeBSDならmaxlogins.plかBruteForceBlockerでどうぞ。
>むに
まぁ最初はヲレもそうでしたよorz 自宅でこねくり回してやっとこさって感じ。
>たくちゃん
ソレダ!! 晒しページTITLE決定w
>Mooちゃん
ipt_recentってiptableの香具師でしょ…。iptableは入ってないんですわこれがまた。
んなもんで、ちとググって見つけたのがコレ↓。
引っかけ方が違うがBruteForceBlockerと似たか寄ったかって感じ。ただ、スクリプトをみるとコレは一度引っかかったら永久追放w
取りあえずどんなもんか実験中。
うちの鯖は、MSSQLにログインしようとするアホがよくいらっしゃいますねぇ。
ひどいときは10Req/secくらいのときもあるなぁ・・・
Windows認証オンリーでの運用だから、ActiveDirectryドメインに登録されていて、かつグラントされたアカウントでなければログインできないのにw
ちうわけで、軽くログさらしてみるテスト。
2006/05/10 20:52:59 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:57 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:57 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:56 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:55 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:54 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:53 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:52 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:51 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:50 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:49 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:48 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:47 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:46 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:45 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:44 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:43 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:42 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:41 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:41 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:40 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:39 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:38 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:37 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:36 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:35 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:34 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:34 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:30 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:29 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:29 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:28 MSSQLSERVER 失敗の監査 (4) 18456 N/A NERUKO-AD-SRV ユーザー 'sa' はログインできませんでした。 [クライアント: 58.238.151.214]
2006/05/10 20:52:26
こんなのが1ヶ月とか延々続いたりするから、気がつくとログがすさまじいサイズに。
アタックに気づいたら、IP指定ではじくようにはしているけどね~。
うーん。結構他でも横行してるんですなぁ。
あ。IPホイホイほったらかしだった…これもやらなきゃいかん。取りあえず順調に14IPほど引っかかってますw