いつきコンテンツ

ヘルプ

カウンター


2005-11-03 sshdでアクセスして回るワームでもいる?

と思うくらい、色んなIPからsshdに対して大量にユーザログインをしようとした痕跡が…

しかも、ほとんど同じアクセスパターンでネットワーク上の他のマシン(アドレスがかなり離れている物も)スキャンされてます。

1ユーザ1アクセスなので、パスワードを破ると言うよりは、ユーザを適当に当たってる感じです。

アクセスパターンからすると、BOTかワームだと思いますが、詳細不明…とりあえず気づいたことを書いておきます。

excelの使い方が適当なので所々間違ってるかもしれませんが、それはご勘弁を。

[日記] アクセス元

といっても、認証失敗したリスト一覧なので、自爆してる物があるかもしれませんが…

ざっと見ただけで、大阪大学、立命館大学、日本大学、農林水産研究(?affとかあった)、東京大学、asahi-net、so-net、ocn、plala、wakwak等々いろいろ来てます。

IPのパターンとかはさっぱり分かりません。

[日記] 時間

思ったよりランダムですが、最近頻度が増えてます。

2005/5/18以降のログを対象に調査したら、2005/5/28以降、時々あるようです。

ここ最近は頻度が増えてきてます…

めんどっちいので適当に解析

簡易解析

点の密度が濃い方が頻繁にアクセスがあります。上、右とも時間軸なので、元々1直線(斜め)ですが、アクセスがない部分は空白。

なんか増えてる感じが。

[日記] 方法

sshd(つか、TCP22番ポート)にコネクション張って、色んなユーザでログインしようとします。

パスワードは分かりません。

今まで検出した事のあるユーザの種類は6676種類

adminが一番多いですが、test,mysql,webmaster,user等もあります。

ユーザ別名でリスト化

ユーザ名別

アクセス数毎でリスト化

アクセス数毎

これ見ると分かると思いますが、1回、2回のものが非常に多いです。

4回以上きている物も140パターン位あります。

一応、10回以上あったものをリスト化しておきます

10 : adam
10 : alan
10 : alex
10 : apache
10 : david
10 : mail
10 : paul
10 : pgsql
10 : richard
11 : adm
11 : aron
11 : sales
12 : angel
12 : guest
12 : info
12 : user
12 : webmaster
13 : mysql
14 : test
17 : admin

なんか、どこかで見たことのあるアカウントが多いです。

対になるパスワードが分からないのでちょっとアレですが、単純な物をつけるのはやめましょう。

……つか、リスト化したユーザIDのどれか+簡単なパスワードでアクセス元のIPにsshでログインできるんだろうなぁと思う。何とかの法律に触れるので実践はしていませんけどね。つか、やるなよ?>見てる人

[日記] 当たりで検索すると何か出るかも?

色んなIPから、いろんなIPに対してのアクセスなので、もう訳が分かりません。

何か攻撃の意志があるというより、単純すぎる気もします。

ちょっとGoogleの内容読んでみましたが、ランダムなIP(日本国内からのみ。国外からのアクセスはコネクション時に弾いてます)からランダムなIP(自分の所のネットワーク全体)に対してアクセスしまくってる例はあんまりない気がします。何なんだろう、ホントに。個人的にはsshd+スクリプト+αの予感が

どこぞでは、ウチのIDSで引っかかってないと言われました。うーむ。

[日記] 結論:わからん

や、突っ込まないで。

分からないけど、とりあえず、変なパターン出来てることは分かったから。

さて、どうしたものかねぇ。

[日記] 珍しくGoogleがエラー吐いてた

google

珍しい。

つか、502ってBAD_GATEWAY?

あんまり見ないエラーです。

[watch] キャラメルBOXのCMが流れた!

テレビ東京で、ARIAのエンディングの後。

ついにお姉さまがTVに登場!ヽ(≧▽≦)ノ

[日記] アストロ!乙女塾!買ってきて読んだ訳だが…

作者の 本田 透さん所のプロフィールが凄いことに!

エイプリルフールが終わりましたので正しいプロフィールに戻しました。

って、2次元が瑞穂お姉さまなんですが!(笑)

2次元では瑞穂お姉さまで、3次元ではフルバの人(違います)とはなかなか激しいですなぁ(笑)

Last Update: 2005-11-03 18:26:25

カレンダー

2003|04|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|04|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|04|05|06|07|08|09|10|11|12|
2012|01|02|03|04|05|07|08|11|
2013|03|05|08|
2014|01|
2015|04|05|06|07|09|10|12|
2016|01|03|05|06|10|11|
2017|06|
2018|05|08|09|10|11|
2019|04|
Generated by tDiary version 4.1.2 + amazon(DB Patch 0.2.1) + counter(DB Patch 0.2) + IKPatch version beta 4.0.1.
Powered by Ruby version 2.1.5-p273 with ruby-fcgi