2006年6月30日

SSH辞書攻撃

 LogWatchでログを監視していると、ssh で辞書攻撃された痕跡が目に付く。目に付きすぎて邪魔なので、Invalid user(システムに存在しないユーザーでログインしようとした)は報告しないようにスクリプトを変更してしまった。これでかなりの行数が減る。

 しかし、今日はエラーの行数が多かった。良く見ると見覚えのあるアカウント。つーか、システムにあるアカウントを調べて攻撃してないかコレ!? /etc/shadow は無事だけど /etc/passwd が漏れたか!? ピーンチ!!! と冷や汗が出た。

 ログを精査しなければ!

 そしたら、単に日本でありそうなアカウント名で辞書攻撃されているだけだった。LogWatchを改造していたから、システムに存在しないユーザーは報告せず、存在するユーザーだけ"Failed password"で報告されていた。

 ホッと一安心。

 ついでなので、利用された辞書をログから再現してみた。コチラ。801件。

 悪用厳禁でおながいしまつ。

Posted by rukihena at 23:45:50
トラックバックURL

このエントリーのトラックバックURL:
http://weblog.rukihena.com/mt/mt-tb.cgi/484

コメント

確認させていただきました。
るきへなは無いね

Posted by あらい at 2006年7月 4日 15:22

実は1個入られてました。
shellを/sbin/nologinにしていたから操作は出来なかった模様。
しかし、public_htmlにナゾのphpファイルが。
ftpは可能だからだorz
ソースを見ると、システム情報をブッコ抜いたり、コマンドを実行できたり出来そうな悪寒。
でも、public_htmlは開放していなかったので実行は出来なかった模様。
安心していいのか、悩みどころ。

Posted by るきへな at 2006年7月 5日 00:38