cNotes 検索 一覧 カテゴリ

.ssh等を探索するリクエスト

Published: 2014/06/29

いろいろなクラウドサービスで/.ssh配下にあるファイルを探すリクエストを観測しています。

6/4ごろ一度観測されてましたが6月末になり再度観測。

探索対象の例。すべてHEADリクエスト。user-agentなし。

 /rsa
 /known_hosts
 /key.priv
 /key
 /identity
 /id_rsa.pub
 /id_rsa.old
 /id_rsa
 /id_ecdsa_old
 /id_ecdsa_2
 /id_ecdsa.old
 /id_ecdsa.2
 /id_ecdsa
 /id_dsa.pub
 /id_dsa.old
 /id_dsa
 /dsa
 /config
 /checknfurl123
 /authorized_keys2
 /authorized_keys
 /.ssh/rsa
 /.ssh/priv
 /.ssh/known_hosts
 /.ssh/key
 /.ssh/identity
 /.ssh/id_rsa_2
 /.ssh/id_rsa.pub
 /.ssh/id_rsa.old
 /.ssh/id_rsa.2
 /.ssh/id_rsa
 /.ssh/id_ecdsa_old
 /.ssh/id_ecdsa_2
 /.ssh/id_ecdsa.old
 /.ssh/id_ecdsa.2
 /.ssh/id_ecdsa
 /.ssh/id_dsa_2
 /.ssh/id_dsa.pub
 /.ssh/id_dsa.old
 /.ssh/id_dsa.2
 /.ssh/id_dsa
 /.ssh/dsa
 /.ssh/config
 /.ssh/authorized_keys2
 /.ssh/authorized_keys
 /.sh_history
 /.history
 /.bash_history

wwwのルートディレクトリをユーザーホームディレクトリにしているサイトや、ホスティングサービスだと該当してしまうものがあるのかもしれません。

ログインに必要な情報の探索なのか、利用中の情報のパーミッションはちゃんと管理していても、バックアップファイルのパーミッションは甘いかもしれませんので注意。

探索元IP
IPASAS NAMECountry
95.85.28.x200130DIGITALOCEAN-ASN-1_Digital_Ocean_Inc.EUNetherlands
92.63.129.x39451MELBOURNE-AS_Melbourne_Server_Hosting_Ltd.GBUnitedKingdom
67.227.164.x32244LIQUID-WEB-INC_-_Liquid_Web_Inc.USUnitedStates
210.1.31.x9891CSLOX-IDC-AS-AP_CS_LOXINFO_Public_Company_Limited.THThailand
94.23.243.x16276OVH_OVH_SASFRFrance
37.153.96.x26464JOYENT-INC-US_-_Joyent_Inc.USNetherlands
31.25.103.x48635PCEXTREME_PCextreme_B.V.NLNetherlands
213.73.112.x34171INTERDOTNET-LIG-AS_Inter.Net_Germany_ligado_operationDEGermany
188.120.225.x29182ISPSYSTEM-AS_ISPsystem_cjscLURussianFederation
201.198.4.x11830Instituto_Costarricense_de_Electricidad_y_Telecom.CRCostaRica
197.33.241.x8452TE-AS_TE-ASEGEgypt

クラウドサービス毎に特定のIPから探索されているようです。

新たな踏み台用サーバーの探索キャンペーンかもしれませんので注意しておくに越したことはないでしょう。

[カテゴリ:webサーバー観察日記]

by jyake