いつきログ　りにゅ～ある（仮復旧）

と思うくらい、色んなIPからsshdに対して大量にユーザログインをしようとした痕跡が…

しかも、ほとんど同じアクセスパターンでネットワーク上の他のマシン（アドレスがかなり離れている物も）スキャンされてます。

１ユーザ１アクセスなので、パスワードを破ると言うよりは、ユーザを適当に当たってる感じです。

アクセスパターンからすると、BOTかワームだと思いますが、詳細不明…とりあえず気づいたことを書いておきます。

excelの使い方が適当なので所々間違ってるかもしれませんが、それはご勘弁を。

◆ [日記] アクセス元

といっても、認証失敗したリスト一覧なので、自爆してる物があるかもしれませんが…

ざっと見ただけで、大阪大学、立命館大学、日本大学、農林水産研究（？affとかあった）、東京大学、asahi-net、so-net、ocn、plala、wakwak等々いろいろ来てます。

IPのパターンとかはさっぱり分かりません。

◆ [日記] 時間

思ったよりランダムですが、最近頻度が増えてます。

2005/5/18以降のログを対象に調査したら、2005/5/28以降、時々あるようです。

ここ最近は頻度が増えてきてます…

めんどっちいので適当に解析

点の密度が濃い方が頻繁にアクセスがあります。上、右とも時間軸なので、元々１直線（斜め）ですが、アクセスがない部分は空白。

なんか増えてる感じが。

◆ [日記] 方法

sshd(つか、TCP22番ポート)にコネクション張って、色んなユーザでログインしようとします。

パスワードは分かりません。

今まで検出した事のあるユーザの種類は6676種類

adminが一番多いですが、test,mysql,webmaster,user等もあります。

ユーザ別名でリスト化

アクセス数毎でリスト化

これ見ると分かると思いますが、１回、２回のものが非常に多いです。

４回以上きている物も140パターン位あります。

一応、１０回以上あったものをリスト化しておきます

10 : adam
10 : alan
10 : alex
10 : apache
10 : david
10 : mail
10 : paul
10 : pgsql
10 : richard
11 : adm
11 : aron
11 : sales
12 : angel
12 : guest
12 : info
12 : user
12 : webmaster
13 : mysql
14 : test
17 : admin

なんか、どこかで見たことのあるアカウントが多いです。

対になるパスワードが分からないのでちょっとアレですが、単純な物をつけるのはやめましょう。

……つか、リスト化したユーザIDのどれか＋簡単なパスワードでアクセス元のIPにsshでログインできるんだろうなぁと思う。何とかの法律に触れるので実践はしていませんけどね。つか、やるなよ？＞見てる人

◆ [日記] 当たりで検索すると何か出るかも？

色んなIPから、いろんなIPに対してのアクセスなので、もう訳が分かりません。

何か攻撃の意志があるというより、単純すぎる気もします。

ちょっとGoogleの内容読んでみましたが、ランダムなIP（日本国内からのみ。国外からのアクセスはコネクション時に弾いてます）からランダムなIP（自分の所のネットワーク全体）に対してアクセスしまくってる例はあんまりない気がします。何なんだろう、ホントに。個人的にはsshd+スクリプト+αの予感が

どこぞでは、ウチのIDSで引っかかってないと言われました。うーむ。

◆ [日記] 結論：わからん

や、突っ込まないで。

分からないけど、とりあえず、変なパターン出来てることは分かったから。

さて、どうしたものかねぇ。

◆ [日記] 珍しくGoogleがエラー吐いてた

珍しい。

つか、502ってBAD_GATEWAY？

あんまり見ないエラーです。

◆ [watch] キャラメルBOXのＣＭが流れた！

テレビ東京で、ARIAのエンディングの後。

ついにお姉さまがＴＶに登場！ヽ（≧▽≦）ノ

◆ [日記] アストロ！乙女塾！買ってきて読んだ訳だが…

作者の 本田 透さん所のプロフィールが凄いことに！

エイプリルフールが終わりましたので正しいプロフィールに戻しました。

って、２次元が瑞穂お姉さまなんですが！（笑）

２次元では瑞穂お姉さまで、３次元ではフルバの人（違います）とはなかなか激しいですなぁ（笑）