おのたく日記 YouTubeも始めました→
2009-12-11(Fri) ボットネットからssh総当り攻撃(Brute Force Attack)が来ている [長年日記]
■ [Security]ボットネットからssh総当り攻撃(Brute Force Attack)が来ている
おうちサーバのログにsshでのログインエラーが頻発していた。「連続してsshに接続してくる相手からの接続は落とすようにしているんだけどなぁ」とか思いつつログを見てみると
Dec 8 07:29:36 localhost sshd[15979]: Invalid user a from 83.211.191.19
Dec 8 07:29:46 localhost sshd[15984]: Invalid user a from 121.52.215.180
Dec 8 07:31:32 localhost sshd[16386]: Invalid user aa from 209.121.50.136
Dec 8 07:33:23 localhost sshd[16462]: Invalid user aaa from 150.217.154.91
Dec 8 07:35:15 localhost sshd[16888]: Invalid user aabakken from 195.202.52.155
Dec 8 07:36:59 localhost sshd[17004]: Invalid user aapo from 89.215.7.151
Dec 8 07:37:03 localhost sshd[17013]: Invalid user aapo from 76.17.182.127
Dec 8 07:38:06 localhost sshd[17065]: Invalid user aapo from 217.133.94.17
Dec 8 07:38:55 localhost sshd[17116]: Invalid user aaron from 89.215.7.151
ユーザ名を辞書順変えて、いろいろなIPアドレスから接続を試みているらしい。接続してきている回数と国と地域は、geoipによると
352 GeoIP Country Edition: CN, China中国
260 GeoIP Country Edition: DE, Germanyドイツ
193 GeoIP Country Edition: IT, Italyイタリア
170 GeoIP Country Edition: KR, Korea, Republic of韓国
146 GeoIP Country Edition: US, United Statesアメリカ
120 GeoIP Country Edition: CO, Colombiaコロンビア
105 GeoIP Country Edition: BR, Brazilブラジル
90 GeoIP Country Edition: CZ, Czech Republic
77 GeoIP Country Edition: BE, Belgium
70 GeoIP Country Edition: PL, Polandポーランド
70 GeoIP Country Edition: CA, Canadaカナダ
68 GeoIP Country Edition: FR, Franceフランス
68 GeoIP Country Edition: BG, Bulgariaブルガリア
63 GeoIP Country Edition: CL, Chile
63 GeoIP Country Edition: AT, Austriaオーストリア
41 GeoIP Country Edition: CH, Switzerland
35 GeoIP Country Edition: PK, Pakistan
31 GeoIP Country Edition: IN, Indiaインド
26 GeoIP Country Edition: ES, Spainスペイン
23 GeoIP Country Edition: GB, United Kingdomイギリス
19 GeoIP Country Edition: UA, Ukraine
19 GeoIP Country Edition: PA, Panama
19 GeoIP Country Edition: NE, Niger
18 GeoIP Country Edition: NL, Netherlands
18 GeoIP Country Edition: HU, Hungary
16 GeoIP Country Edition: UY, Uruguay
16 GeoIP Country Edition: IL, Israel
15 GeoIP Country Edition: TW, Taiwan台湾
15 GeoIP Country Edition: AR, Argentina
14 GeoIP Country Edition: SV, El Salvador
13 GeoIP Country Edition: AU, Australiaオーストラリア
12 GeoIP Country Edition: ZA, South Africa南アフリカ
5 GeoIP Country Edition: PR, Puerto Rico
4 GeoIP Country Edition: RU, Russian Federation
4 GeoIP Country Edition: KE, Kenya
3 GeoIP Country Edition: RS, Serbia
2 GeoIP Country Edition: TH, Thailandタイ
2 GeoIP Country Edition: ID, Indonesia
1 GeoIP Country Edition: PE, Peruペルー
1 GeoIP Country Edition: MY, Malaysia
1 GeoIP Country Edition: MK, Macedonia
1 GeoIP Country Edition: EC, Ecuador
1 GeoIP Country Edition: BO, Bolivia
と色々な国と地域におよんでいる。「これがボットネットを使ったBrute Force Attackかぁ」と思いながら、とりあえず、
# grep "Invalid user " </var/log/auth.log |awk '{print $10}'|uniq -c|
awk '$1>0{print $2}'|while read add; do iptables -A INPUT -s $add -j DROP;done
として、ボットネットになってしまっていると思われるIPアドレスからの接続を全てブロックした。ついでに、接続してきたIPアドレスとユーザ名のリストを作っておいた。
# grep "Invalid user " </var/log/auth.log|awk '{print $10,$8}'|tee bfa-list
83.211.191.19 a
121.52.215.180 a
209.121.50.136 aa
150.217.154.91 aaa
195.202.52.155 aabakken
89.215.7.151 aapo
76.17.182.127 aapo
217.133.94.17 aapo
89.215.7.151 aaron
..
このリストで
# sort <bfa-list|while read add name; do iptables -A INPUT -s $add -j DROP;done
とすれば、おうちサーバで見つけたポッドからの接続は拒否できます。すぐに実行できるshellスクリプトも作った。ちなみにユーザ名のtop 10は、
$ sort <bfa-list|awk '{print $2}'|sort|uniq -c|sort -nr|head
88 admin
19 alex
18 guest
16 mike
15 ftp
14 info
14 administrator
11 ftpuser
11 david
10 john
10 dan
で、トップはadminでした。接続回数が多いIPアドレスつまり活動的なポッドのtop 10は
$ sort <bfa-list|awk '{print $1}'|sort|uniq -c|sort -nr|head
60 89.215.7.151
60 194.51.12.238
47 201.217.215.66
44 200.111.13.242
43 61.74.75.43
39 80.169.105.159
39 212.243.41.9
37 80.153.211.8
37 58.247.222.163
36 194.78.48.108
で、トップはブルガリアのIPアドレスでした。
|