- ギャリスン
- ベテラン
- 会議室デビュー日: 2003/08/05
- 投稿数: 50
|
投稿日時: 2004-10-19 12:09
少し前からLinuxでメールサーバーを立てています。
安定しすぎていて(笑)
結構気づかなかったんですが、
だいぶ前から大量にsshd〜ってログが大量に出ています。
sshd(pam_unix)[*****]: authentication failure;
logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=***.***.***.*** user=root
rhostもいつも同じところではなく、
日本国内の大学さんや、アメリカの大手プロバイダ、
果てはイスラエル、韓国、非常に国際色豊かな状況です(笑
だいたい同じ回数で来て、同じようにuser名もapache等、
変えていたります。
取り合えず、sshのログで、最後に認証をOKしたログも無く、
一応色々制限してあるし、ログもログサーバーのログなので
改変されてないことを考えれば安心しているのですが・・・
これはいったい何なんでしょう?
大量に出る場合、間の秒間が非常に狭いので
人手によるものではなさそうです。
何か流行しているツールがあるのでしょうか?
またはあちこち手当たり次第襲ってる
ウィルスのようなものなんでしょうか?
具体的な事をご存知の方、おられましたらご教授ください。
また、なんらか対策等、合わせて教えて頂けましたら幸いです。
追伸・・・
前にも書きましたが
IPドメインサーチなどで調べますと、
日本の大手大学さんの名前が出てまいりました。
広報部か何かを通じて穏便に
お知らせするべきでしょうか?
[ メッセージ編集済み 編集者: ギャリスン 編集日時 2004-10-19 12:09 ]
|
|---|
- 水無月 遊々
- 大ベテラン
- 会議室デビュー日: 2003/10/22
- 投稿数: 139
- お住まい・勤務地: お星様☆彡
|
投稿日時: 2004-10-19 12:56
こんにちわっ! ゆうゆうです。
| 引用: |
|
ギャリスンさんの書き込み (2004-10-19 12:09) より:
sshd(pam_unix)[*****]: authentication failure;
logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=***.***.***.*** user=root
|
ここ半年ぐらいかな? ツールを使ったsshのアタックが流行っているようですね。感じ的には自動巡回しているみたいです。昔は5ユーザぐらいアタックして帰っていったのですが、時々強化されているようで、酷いのになると100件ぐらいアタックしていきます。一応、そのときのログを張っておきますので、アタックされているユーザに心当たりのある方は、セキュリティーを強化しておいた方がいいかも知れません。
| 引用: |
|
日本の大手大学さんの名前が出てまいりました。
広報部か何かを通じて穏便に
お知らせするべきでしょうか?
|
接続元がサーバならハックされているのかも知れません^^; お知らせしてあげて、調査してもらうのがよいかと思います。
| コード: |
|
17:59:41 User nobody not allowed because not listed in AllowUsers
17:59:43 Illegal user patrick from 134.169.138.66
17:59:46 Illegal user patrick from 134.169.138.66
17:59:49 User root not allowed because not listed in AllowUsers
17:59:51 User root not allowed because not listed in AllowUsers
17:59:54 User root not allowed because not listed in AllowUsers
17:59:57 User root not allowed because not listed in AllowUsers
17:59:59 User root not allowed because not listed in AllowUsers
18:00:02 Illegal user rolo from 134.169.138.66
18:00:04 Illegal user iceuser from 134.169.138.66
18:00:07 Illegal user horde from 134.169.138.66
18:00:10 Illegal user cyrus from 134.169.138.66
18:00:12 Illegal user www from 134.169.138.66
18:00:15 Illegal user wwwrun from 134.169.138.66
18:00:18 Illegal user matt from 134.169.138.66
18:00:20 Illegal user test from 134.169.138.66
18:00:23 Illegal user test from 134.169.138.66
18:00:25 Illegal user test from 134.169.138.66
18:00:28 Illegal user test from 134.169.138.66
18:00:31 Illegal user www-data from 134.169.138.66
18:00:33 Illegal user mysql from 134.169.138.66
18:00:36 User operator not allowed because not listed in AllowUsers
18:00:39 User adm not allowed because not listed in AllowUsers
18:00:41 User apache not allowed because not listed in AllowUsers
18:00:44 Illegal user irc from 134.169.138.66
18:00:46 Illegal user irc from 134.169.138.66
18:00:49 User adm not allowed because not listed in AllowUsers
18:00:52 User root not allowed because not listed in AllowUsers
18:00:54 User root not allowed because not listed in AllowUsers
18:00:57 User root not allowed because not listed in AllowUsers
18:01:00 Illegal user jane from 134.169.138.66
18:01:02 Illegal user pamela from 134.169.138.66
18:01:05 User root not allowed because not listed in AllowUsers
18:01:07 User root not allowed because not listed in AllowUsers
18:01:10 User root not allowed because not listed in AllowUsers
18:01:13 User root not allowed because not listed in AllowUsers
18:01:15 User root not allowed because not listed in AllowUsers
18:01:18 Illegal user cosmin from 134.169.138.66
18:01:21 User root not allowed because not listed in AllowUsers
18:01:23 User root not allowed because not listed in AllowUsers
18:01:26 User root not allowed because not listed in AllowUsers
18:01:28 User root not allowed because not listed in AllowUsers
18:01:31 User root not allowed because not listed in AllowUsers
18:01:34 User root not allowed because not listed in AllowUsers
18:01:36 User root not allowed because not listed in AllowUsers
18:01:39 User root not allowed because not listed in AllowUsers
18:01:42 User root not allowed because not listed in AllowUsers
18:01:45 User root not allowed because not listed in AllowUsers
18:01:48 User root not allowed because not listed in AllowUsers
18:01:50 User root not allowed because not listed in AllowUsers
18:01:53 User root not allowed because not listed in AllowUsers
18:01:56 User root not allowed because not listed in AllowUsers
18:01:58 User root not allowed because not listed in AllowUsers
18:02:02 User root not allowed because not listed in AllowUsers
18:02:04 User root not allowed because not listed in AllowUsers
18:02:07 User root not allowed because not listed in AllowUsers
18:02:10 User root not allowed because not listed in AllowUsers
18:02:12 User root not allowed because not listed in AllowUsers
18:02:15 User root not allowed because not listed in AllowUsers
18:02:18 User root not allowed because not listed in AllowUsers
18:02:20 User root not allowed because not listed in AllowUsers
18:02:23 User root not allowed because not listed in AllowUsers
18:02:25 User root not allowed because not listed in AllowUsers
18:02:28 User root not allowed because not listed in AllowUsers
18:02:31 User root not allowed because not listed in AllowUsers
18:02:33 User root not allowed because not listed in AllowUsers
18:02:36 User root not allowed because not listed in AllowUsers
18:02:38 User root not allowed because not listed in AllowUsers
18:02:41 User root not allowed because not listed in AllowUsers
18:02:44 User root not allowed because not listed in AllowUsers
18:02:46 User root not allowed because not listed in AllowUsers
18:02:49 User root not allowed because not listed in AllowUsers
18:02:52 User root not allowed because not listed in AllowUsers
18:02:54 User root not allowed because not listed in AllowUsers
18:02:57 Illegal user cip52 from 134.169.138.66
18:03:01 Illegal user cip51 from 134.169.138.66
18:03:03 User root not allowed because not listed in AllowUsers
18:03:06 Illegal user noc from 134.169.138.66
18:03:12 User root not allowed because not listed in AllowUsers
18:03:14 User root not allowed because not listed in AllowUsers
18:03:17 User root not allowed because not listed in AllowUsers
18:03:20 User root not allowed because not listed in AllowUsers
18:03:24 Illegal user webmaster from 134.169.138.66
18:03:26 Illegal user data from 134.169.138.66
18:03:29 Illegal user user from 134.169.138.66
18:03:32 Illegal user user from 134.169.138.66
18:03:34 Illegal user user from 134.169.138.66
18:03:37 Illegal user web from 134.169.138.66
18:03:39 Illegal user web from 134.169.138.66
18:03:42 Illegal user oracle from 134.169.138.66
18:03:45 Illegal user sybase from 134.169.138.66
18:03:47 Illegal user master from 134.169.138.66
18:03:50 Illegal user account from 134.169.138.66
18:03:52 Illegal user backup from 134.169.138.66
18:03:55 Illegal user server from 134.169.138.66
18:03:58 Illegal user adam from 134.169.138.66
18:04:00 Illegal user alan from 134.169.138.66
18:04:03 Illegal user frank from 134.169.138.66
18:04:06 Illegal user george from 134.169.138.66
18:04:08 Illegal user henry from 134.169.138.66
18:04:11 Illegal user john from 134.169.138.66
18:04:13 User root not allowed because not listed in AllowUsers
18:04:16 User root not allowed because not listed in AllowUsers
18:04:19 User root not allowed because not listed in AllowUsers
18:04:21 User root not allowed because not listed in AllowUsers
18:04:24 User root not allowed because not listed in AllowUsers
18:04:26 Illegal user test from 134.169.138.66
|
_________________
脱線のNUSHI(見習い) ☆⌒(*^▽°)
|
|---|
- 瀬戸っぷ
- ベテラン
- 会議室デビュー日: 2003/11/28
- 投稿数: 56
|
投稿日時: 2004-10-19 22:23
| 引用: |
|
水無月 遊々さんの書き込み (2004-10-19 12:56) より:
ここ半年ぐらいかな? ツールを使ったsshのアタックが流行っているようですね。感じ的には自動巡回しているみたいです。昔は5ユーザぐらいアタックして帰っていったのですが、時々強化されているようで、酷いのになると100件ぐらいアタックしていきます。一応、そのときのログを張っておきますので、アタックされているユーザに心当たりのある方は、セキュリティーを強化しておいた方がいいかも知れません。
|
sshスキャンのようです。
ウチも毎回108回の接続と試行がログに記録されています。
googleで「ssh cip52」で検索するといくつか見つかります。
(試行しているパスワードらしきモノも)
ウチは公開鍵認証の上、接続可能なユーザーを制限しているので
今のところ侵入はされていないようです。
一応、openssh-3.9p1を使用。
|
|---|
- 水無月 遊々
- 大ベテラン
- 会議室デビュー日: 2003/10/22
- 投稿数: 139
- お住まい・勤務地: お星様☆彡
|
投稿日時: 2004-10-20 11:01
| 引用: |
|
瀬戸っぷさんの書き込み (2004-10-19 22:23) より:
googleで「ssh cip52」で検索するといくつか見つかります。
|
詳しい情報ありがとうございます。このツール、どこで出回っているんでしょうね。あと、ログイン後のマシンの攻略パターンを見てみたいですね。餌のマシンでも設置して調べてみようかな。(chrootしてあるマシンにログインさせて泳がせてみるとか楽しいかも…笑)
_________________
脱線のNUSHI(見習い) ☆⌒(*^▽°)
|
|---|
- ギャリスン
- ベテラン
- 会議室デビュー日: 2003/08/05
- 投稿数: 50
|
投稿日時: 2004-10-21 09:19
瀬戸っぷさん、遊々さん、ありがとうございましたヽ(^ω^)
ツールなんですね、これは。
私のところは、某日本の大学さんの所から来たのが100くらいの
アタックでした。
踏み台ですよね〜、きっと。
ばれるってわかってないア○な学生じゃなければいいけどなぁ
久しぶりに学校で”不正アクセス禁止法で逮捕します”なんてねぇ・・・
対策は、取りあえずrootとかでロ
グオンしようとしているみたいなので、
まずはその辺りから制限ですね。
早いうちにこちらも公開鍵をセットまでしたいと思います。
助かりました。ありがとうございましたヽ(^ω^)
|
|---|
