最近のsshブルートフォース 3
Published: 2013/04/24
ネットに接続されるデバイスがルータやサーバーなどではなく、ゲーム機、TV、カメラを初めいろいろなメディアデバイスであることを経験する場合が増えており、無防備な状態でネットにさらされていたり、そういったデバイスを狙った攻撃が増えていて様々な検索情報、IP情報も公開されるようになって久しいです。特に最近はこういったデバイスが増えていることからなにかと影響を受けたり、利用されたりする可能性が高いのではと思います。セキュリティ問題の解析、対策をはじめネット上の事象に対応する際に単純にサーバーとかサーバープログラムの問題の解決でという発想では古くて的外れな対応になってしまう経験をするようになってからも久しいです。。。あれ?これTVじゃんっ?パッチって、、?とか。。。時代はどんどん変わっていき大変です。。
とはいえ、VPSやcloudサービスの拡大のおかげかまだまだ単純にUNIXサーバー狙いな攻撃は多いままで、その中でも単純なsshのブルートフォースは相変わらずです。
最近1ヶ月間に3ホストに対して行われたブルートフォースの状況です。
被攻撃対象の環境、契約サービス等の違いにより攻撃の特性は異なることが多く、また、CloudサービスやVPSサービスでは同一サービス内からの隣接攻撃が多く国で分類する意味がなかったりする場合もありますので参考までとなります。
この期間のこの観測ポイントでは、アジアから攻撃が非常に多いです。そしてアメリカ。
| Country | 攻撃頻度 |
|---|---|
| China | 180310 |
| Taiwan | 76158 |
| UnitedStates | 67322 |
| Korea | 25552 |
| Germany | 17630 |
| UnitedKingdom | 14847 |
| India | 12544 |
| RussianFederation | 11456 |
| Ukraine | 10434 |
| Brazil | 10058 |
| France | 9611 |
| Indonesia | 9426 |
| Vietnam | 7529 |
| NewZealand | 7020 |
| CzechRepublic | 5468 |
| Colombia | 4985 |
| Argentina | 4456 |
| Thailand | 4265 |
| Finland | 4127 |
| Country | host数 |
|---|---|
| China | 484 |
| UnitedStates | 153 |
| Korea | 71 |
| Germany | 50 |
| India | 34 |
| Taiwan | 29 |
| RussianFederation | 24 |
| Brazil | 22 |
| Netherlands | 21 |
| France | 20 |
| Turkey | 18 |
| UnitedKingdom | 18 |
| Vietnam | 18 |
| Canada | 16 |
| HongKong | 16 |
| Indonesia | 16 |
| Thailand | 12 |
| Spain | 9 |
| CzechRepublic | 8 |
トップサイト。
10年前から、攻撃→踏み台化→踏み台から攻撃→の繰り返しで次のステップの攻撃に利用するためのサイトを増やしていきます。
この過程で乗っ取られたサイトはたまにDDoSに利用される場合もありますが、それよりも圧倒的な頻度でDrive-Byで利用されたり広告サイトに利用されたりする例が多いようです。
目立つものがそういったもであって、もっと深い攻撃利用があるかもしれませんが。
| 攻撃頻度 | IP | name | AS | AS name | Country |
|---|---|---|---|---|---|
| 30193 | 65.98.91.126 | NONE | 25653 | FORTRESSITX_-_FortressITX | UnitedStates |
| 23986 | 119.84.71.131 | NONE | 4134 | CHINANET-BACKBONE_No.31Jin-rong_Street | China |
| 22373 | 220.130.160.43 | mail.epackage.com.tw. | 3462 | HINET_Data_Communication_Business_Group | Taiwan |
| 20990 | 211.72.246.68 | 211-72-246-68.HINET-IP.hinet.net. | 3462 | HINET_Data_Communication_Business_Group | Taiwan |
| 16976 | 219.87.150.167 | 219-87-150-167.static.tfn.net.tw. | 9924 | TFN-TW_Taiwan_Fixed_Network_Telco_and_Network_Service_Provider. | Taiwan |
| 13456 | 61.50.247.176 | NONE | 4808 | CHINA169-BJ_CNCGROUP_IP_network_China169_Beijing_Province_Network | China |
| 10611 | 210.14.70.33 | NONE | 17775 | STN-CN_shanghai_science_and_technology_network_communication_limited_company | China |
| 10479 | 94.12.41.1 | 5e0c2901.bb.sky.com. | 5607 | BSKYB-BROADBAND-AS_British_Sky_Broadcasting_Limited | UnitedKingdom |
| 10100 | 80.73.3.33 | 33.3.73.80.triolan.net. | 13188 | BANKINFORM-AS_TOV__Bank-Inform_ | Ukraine |
| 8172 | 118.98.96.81 | NONE | 17974 | TELKOMNET-AS2-AP_PT_Telekomunikasi_Indonesia | Indonesia |
| 8059 | 124.207.254.165 | NONE | 4847 | CNIX-AP_China_Networks_Inter-Exchange | China |
| 7020 | 156.62.70.59 | pohutukawa.aut.ac.nz. | 24398 | AUT-NZ-AP_Auckland_University_of_Technology | NewZealand |
| 6632 | 119.188.7.72 | NONE | 4837 | CHINA169-BACKBONE_CNCGROUP_China169_Backbone | China |
| 5745 | 218.108.0.91 | NONE | 24139 | CNNIC-WASU-AP_WASU_TV_&_Communication_Holding_Co.Ltd. | China |
| 5660 | 222.33.40.139 | NONE | 9394 | CRNET_CHINA_RAILWAY_Internet(CRNET) | China |
| 4866 | 60.248.110.111 | 60-248-110-111.HINET-IP.hinet.net. | 3462 | HINET_Data_Communication_Business_Group | Taiwan |
もう10年この状況続いてますが、あいかわらず脆弱なアカウントが多く、簡単に乗っ取られるユーザーが多いということなのでしょうかね。
不用意に放置されている場合が多いですが、SI的、マネージドサービス的にオープンにせざるを得ないという事情がある例も多々見て来ました。セキュリティ云々という問題ではない場合もあったりするんですが、それでも最低限の対策をすることで被害は大幅に防げます。
- 可能であるならアクセス元IPを限定する。Firewallやフィルタリング。
- sshdの待ち受けポートをTCP22番以外にする。結構効果的。
- 公開鍵認証を利用する
- rootでのsshログインは禁止に
- idとpasswordには同じ文字列を使わない。数字や記号を付加した程度では破られる可能性が高い。
- 単純なルール(キー配列利用や文字列置き換え)も危険。複数のルールの組み合わせやルールの複雑化を(おや、スマホのパターン認証も同じぐらい簡単ってことかな)
- ログ(/var/log/secure等)は定期的にチェックしましょう
by jyake