.ssh等を探索するリクエスト
Published: 2014/06/29
いろいろなクラウドサービスで/.ssh配下にあるファイルを探すリクエストを観測しています。
6/4ごろ一度観測されてましたが6月末になり再度観測。
探索対象の例。すべてHEADリクエスト。user-agentなし。
/rsa /known_hosts /key.priv /key /identity /id_rsa.pub /id_rsa.old /id_rsa /id_ecdsa_old /id_ecdsa_2 /id_ecdsa.old /id_ecdsa.2 /id_ecdsa /id_dsa.pub /id_dsa.old /id_dsa /dsa /config /checknfurl123 /authorized_keys2 /authorized_keys /.ssh/rsa /.ssh/priv /.ssh/known_hosts /.ssh/key /.ssh/identity /.ssh/id_rsa_2 /.ssh/id_rsa.pub /.ssh/id_rsa.old /.ssh/id_rsa.2 /.ssh/id_rsa /.ssh/id_ecdsa_old /.ssh/id_ecdsa_2 /.ssh/id_ecdsa.old /.ssh/id_ecdsa.2 /.ssh/id_ecdsa /.ssh/id_dsa_2 /.ssh/id_dsa.pub /.ssh/id_dsa.old /.ssh/id_dsa.2 /.ssh/id_dsa /.ssh/dsa /.ssh/config /.ssh/authorized_keys2 /.ssh/authorized_keys /.sh_history /.history /.bash_history
wwwのルートディレクトリをユーザーホームディレクトリにしているサイトや、ホスティングサービスだと該当してしまうものがあるのかもしれません。
ログインに必要な情報の探索なのか、利用中の情報のパーミッションはちゃんと管理していても、バックアップファイルのパーミッションは甘いかもしれませんので注意。
探索元IP
IP | AS | AS NAME | Country |
---|---|---|---|
95.85.28.x | 200130 | DIGITALOCEAN-ASN-1_Digital_Ocean_Inc.EU | Netherlands |
92.63.129.x | 39451 | MELBOURNE-AS_Melbourne_Server_Hosting_Ltd.GB | UnitedKingdom |
67.227.164.x | 32244 | LIQUID-WEB-INC_-_Liquid_Web_Inc.US | UnitedStates |
210.1.31.x | 9891 | CSLOX-IDC-AS-AP_CS_LOXINFO_Public_Company_Limited.TH | Thailand |
94.23.243.x | 16276 | OVH_OVH_SASFR | France |
37.153.96.x | 26464 | JOYENT-INC-US_-_Joyent_Inc.US | Netherlands |
31.25.103.x | 48635 | PCEXTREME_PCextreme_B.V.NL | Netherlands |
213.73.112.x | 34171 | INTERDOTNET-LIG-AS_Inter.Net_Germany_ligado_operationDE | Germany |
188.120.225.x | 29182 | ISPSYSTEM-AS_ISPsystem_cjscLU | RussianFederation |
201.198.4.x | 11830 | Instituto_Costarricense_de_Electricidad_y_Telecom.CR | CostaRica |
197.33.241.x | 8452 | TE-AS_TE-ASEG | Egypt |
クラウドサービス毎に特定のIPから探索されているようです。
新たな踏み台用サーバーの探索キャンペーンかもしれませんので注意しておくに越したことはないでしょう。
by jyake