悪質なIPアドレスを晒してみる

さくらVPSを使う様になって、今まではブロードバンドルーターでせき止めていた不正アクセスを、もろにサーバーが受けているので、パケットフィルタリングが欠かせない。SSHをあけているので、懲りずにrootでアタックしてくるバカがいる。rootでSSHは無効にしとるっつうの(詳しいことはふせとく)。

いい具合にログが貯まったので、awkで処理する為にログを落としてきて、Cygwinで処理してみた。もちろん落としてこなくてもサーバー上で処理できるけど、せっかくCygwinをインストールしたからWindows環境でやりたくて(w

/var/log/secure

オーナーがroot になっているので通常は落としてこられない。COPYしてオーナー変更してSCPで落としてくる。そしてCygwin環境のUNIXコマンドを使って膨大なログの中からIPアドレスだけを重複無く抜き出す。UNIX系OSは|でつないで一行コマンドでいけるところが素晴らしい。 

gawk '/Invalid/ { print $0; }' secure | gawk 'BEGIN { FS=" "; OFS=" "; } { print $10; }' | sort | uniq > ip.txt

出来上がったIPアドレスのリスト。こうしてみると16のIPアドレスに絞り込めた。逆に言えばこいつら16人?のせいで、セキュリティログには膨大なアタックの痕跡が記されていたという訳だ。スクリプト等を使ってログインIDやパスワードを変更して色々なアタックを仕掛けてきている様子が伺える。ふむふむ・・ 

109.87.190.102
114.33.13.189
122.155.6.236
123.30.191.89
152.46.6.38
182.160.136.103
199.119.225.130
220.130.143.67
49.212.23.149
49.212.43.85
49.212.54.175
49.212.57.87
59.120.20.133
61.66.42.66
91.135.80.153
91.218.230.70

IPアドレスごとにログでどんな動きをしているか調べると、 かなり悪質な奴と、ちょっと試してみた的な奴とが明確になってくる。いずれにしてもSSHログインを試みたりしているので、不正アクセス目的と断言して良いだろう。日本なら法律改正で犯罪になる様になったんじゃなかったっけな?なんかドキドキしてきた(w

驚いたことに、同じさくらVPSからアタックを受けていることが判明した。これは蹴っておく必要がありそうだし、通報したろうか?と思うが通報することが正当なのかどうなんだろうか?興味本位でやってるとしたらマジに報復したい気になるが、それだと同じ穴の狢になってしまうので止めておく。

もうデータは集まったので黙ってdenyしておこう。ついでに国ごと来て要らんIPはdenyする様にIPフィルタリングした。もちろんWebサーバーにもアクセスして要らん。来るな。

さて、せっかくのネタなので、一応、IPひろばには報告しておいた。みんなで不正アクセス元はブラックリスト化してしまいましょう。

SSHアタックに関しては、一般的にTCP Wrapperで対処しておかなくてはならないので、ある程度アタックの傾向が見えたのでhosts.denyとhosts.allowを設定することにした。

/etc/hosts.deny 

sshd: ALL

/etc/hosts.allow 

sshd: *ap.plala.or.jp,ap.ocn.ne.jp

これで、ぷららとOCN以外はSSHアクセス不可能となる。
もしも使っているネットワークが固定IPなら確実にアクセス可能なIPが絞れますね。

参考
今回SSHDをTCP Wapperで制限したが、sshdが必要とするライブラリをlddコマンドを使って調べた上で設定したほうが良い。もしかしたらTCP Wrapperに対応していない可能性も・・・(実際に検証してみれば分かるけど)下記の例の場合はlibwrap.soが見つかったので、sshdへのアクセスをTCP Wrapperで制御できる。 

# ldd /usr/sbin/sshd | grep wrap
libwrap.so.0 => /lib64/libwrap.so.0 (0x00002b2fb047b000)

この辺りは、RHCE/CTの勉強の時にやったので一応覚えているが、カスタマイズの仕方までは学習していないので、より応用的な手法は学習するしかない。必要に迫られないと調べないのが現実だけど。 

ついでにftpdも同様に設定しておいた方がいいですね。アクセスする可能性のあるアドレス以外は拒否(deny)が基本です。実験的に手法とか調べるために餌(ハニーポッド)にしておくなら話は別ですが、長く続けると入られちゃう可能性あるので程ほどに。

スポンサーリンク

コメント

Comment spam is annoying.

There has been an increase in comment spam, but we decline it. It’s pointless because we use Akismet to block spam comments. Spam comments will not be posted.

コメントスパムが増えていますがお断りします。akismetでスパムコメントを弾いているので無意味です。スパムコメントは掲載されません。

ブロックしたスパム

8,886件のスパムAkismet によってブロックされました

DMM広告

タイトルとURLをコピーしました