[IT] 被攻撃レポート (SSH認証アタック) 実害なし 2010/11/07
今朝の Logwatch 見たら台湾から単純(スクリプトを回しただけっぽ)なSSH認証アタック(不正アクセス)を受けていたことが判明。日本の会社(株式会社デクー)からもアタックを受けたがこちらは実行時間に間隔があるため、もしかすると手打ちかも?ほぼ毎日300件くらいのこうした攻撃はあるものの、昨日は1,300件を超えていたのでブログに書きます。
今現在ではイタリアからの攻撃が増えていますが、攻撃というよりも(システム警備が厳重なことを隠した)玄関のピンポン・ダッシュを世界中から受けている感じです。twitter へ URL 公開をすると、招かれざる客が ssh でやってくる感じでしょうか。これが 10年くらい前ならトラフィック問題にもなっていましたが現在では帯域に余裕があるのと、ハニーポット標準装備なのでまったくもって問題がありません。
===
sshd:
Authentication Failures:
unknown (ns1.cme.ncu.edu.tw): 1352 Time(s)
root (61.135.242.224): 499 Time(s)
root (ns1.cme.ncu.edu.tw): 393 Time(s)
root (ea.c4.33.static.xlhost.com): 123 Time(s)
unknown (61.135.242.224): 87 Time(s)
root (sv143.decoo.co.jp): 62 Time(s)
unknown (65.49.7.131): 20 Time(s)
root (65.49.7.131): 13 Time(s)
unknown (218.206.224.134): 13 Time(s)
apache (ns1.cme.ncu.edu.tw): 5 Time(s)
root (218.206.224.134): 5 Time(s)
gopher (ns1.cme.ncu.edu.tw): 3 Time(s)
mail (218.206.224.134): 3 Time(s)
news (ns1.cme.ncu.edu.tw): 3 Time(s)
unknown (124.65.126.98): 3 Time(s)
avahi (ns1.cme.ncu.edu.tw): 2 Time(s)
daemon (61.135.242.224): 2 Time(s)
mysql (61.135.242.224): 2 Time(s)
mysql (ns1.cme.ncu.edu.tw): 2 Time(s)
root (124.65.126.98): 2 Time(s)
bin (ns1.cme.ncu.edu.tw): 1 Time(s)
daemon (ns1.cme.ncu.edu.tw): 1 Time(s)
dbus (ns1.cme.ncu.edu.tw): 1 Time(s)
dovecot (ns1.cme.ncu.edu.tw): 1 Time(s)
games (ns1.cme.ncu.edu.tw): 1 Time(s)
gdm (ns1.cme.ncu.edu.tw): 1 Time(s)
hsqldb (ns1.cme.ncu.edu.tw): 1 Time(s)
mail (ns1.cme.ncu.edu.tw): 1 Time(s)
nfsnobody (ns1.cme.ncu.edu.tw): 1 Time(s)
nscd (ns1.cme.ncu.edu.tw): 1 Time(s)
ntp (ns1.cme.ncu.edu.tw): 1 Time(s)
pcap (ns1.cme.ncu.edu.tw): 1 Time(s)
smmsp (ns1.cme.ncu.edu.tw): 1 Time(s)
squid (ns1.cme.ncu.edu.tw): 1 Time(s)
unknown (ea.c4.33.static.xlhost.com): 1 Time(s)
uucp (ns1.cme.ncu.edu.tw): 1 Time(s)
xfs (ns1.cme.ncu.edu.tw): 1 Time(s)
Invalid Users:
Unknown Account: 1476 Time(s)
===
以上