年末年始のssh不正アクセス
Published: 2012/01/06
12/31に増えてました。その前後は0ではないですがわりと平穏。
攻撃元は少なく、一つ一つのブルートフォースのパワーが強く全体的な頻度が上がっていたようです。
基本的に攻撃内容は
- ユーザー名検索のための辞書攻撃
- ユーザー名が存在していそうだったらそのユーザーのパスワードに対する辞書攻撃
- 最初からrootのパスワード狙い
ですので、サーバーの設定次第ですが、結果的には、ログ的にはrootが狙われることが多いような見え方になります。
12/31の攻撃元。IPアドレスをみただけでわかる、おなじみのASですね。
IP | name | AS | AS name | 国 |
---|---|---|---|---|
183.59.9.74 | NONE | 4134 | CHINANET-BACKBONE_No.31Jin-rong_Street | CN |
119.145.168.124 | NONE | 4134 | CHINANET-BACKBONE_No.31Jin-rong_Street | CN |
62.212.68.132 | hosted.by.leaseweb.com. | 16265 | LEASEWEB_LeaseWeb_B.V. | NL |
年末以外の期間でもバースト的に増えている時期が存在します。特に10/2は12/31以上の量を観測しています。きっかけは不明。
ただ、バースト的に攻撃頻度が増えている場合の攻撃内容はユーザー名の存在を調べる辞書攻撃が発生しているときのようです。
逆に7/12〜9/18の期間は攻撃元IP数は非常に多くなっていますが攻撃頻度はそれほど増えていません。
この時期の攻撃内容は、rootのパスワードに対する辞書攻撃を1件1件ソースアドレスを変えながら、しかも数分〜15分に1回のゆるいペースで延々と行われているというものでした。
これらの攻撃内容の違いが、グラフ上の特性の違いとしてあらわれているようです。
この攻撃も数年前の大爆発のようなレベルのものは発生していないですが、終わることなく延々と続いている迷惑な攻撃です。ホスティングやクラウドがたくさん使われるようになっているので、この攻撃もまだまだこれから有用なのかもしれません。
by jyake