« awkの威力を思い知れ!CSV形式のテキスト処理 | メイン | Firefox 5.0とNoscriptでGoogle検索に不具合が »
トップページ > コンピュータ > 悪質なIPアドレスを晒してみる
2011年06月20日
悪質なIPアドレスを晒してみる
さくらVPSを使う様になって、今まではブロードバンドルーターでせき止めていた不正アクセスを、もろにサーバーが受けているので、パケットフィルタリングが欠かせない。SSHをあけているので、懲りずにrootでアタックしてくるバカがいる。rootでSSHは無効にしとるっつうの(詳しいことはふせとく)。
いい具合にログが貯まったので、awkで処理する為にログを落としてきて、Cygwinで処理してみた。もちろん落としてこなくてもサーバー上で処理できるけど、せっかくCygwinをインストールしたからWindows環境でやりたくて(w
/var/log/secure
オーナーがroot になっているので通常は落としてこられない。COPYしてオーナー変更してSCPで落としてくる。そしてCygwin環境のUNIXコマンドを使って膨大なログの中からIPアドレスだけを重複無く抜き出す。UNIX系OSは|でつないで一行コマンドでいけるところが素晴らしい。
gawk '/Invalid/ { print $0; }' secure | gawk 'BEGIN { FS=" "; OFS=" "; } { print $10; }' | sort | uniq > ip.txt
出来上がったIPアドレスのリスト。こうしてみると16のIPアドレスに絞り込めた。逆に言えばこいつら16人?のせいで、セキュリティログには膨大なアタックの痕跡が記されていたという訳だ。スクリプト等を使ってログインIDやパスワードを変更して色々なアタックを仕掛けてきている様子が伺える。ふむふむ・・
109.87.190.102 114.33.13.189 122.155.6.236 123.30.191.89 152.46.6.38 182.160.136.103 199.119.225.130 220.130.143.67 49.212.23.149 49.212.43.85 49.212.54.175 49.212.57.87 59.120.20.133 61.66.42.66 91.135.80.153 91.218.230.70
IPアドレスごとにログでどんな動きをしているか調べると、 かなり悪質な奴と、ちょっと試してみた的な奴とが明確になってくる。いずれにしてもSSHログインを試みたりしているので、不正アクセス目的と断言して良いだろう。日本なら法律改正で犯罪になる様になったんじゃなかったっけな?なんかドキドキしてきた(w
驚いたことに、同じさくらVPSからアタックを受けていることが判明した。これは蹴っておく必要がありそうだし、通報したろうか?と思うが通報することが正当なのかどうなんだろうか?興味本位でやってるとしたらマジに報復したい気になるが、それだと同じ穴の狢になってしまうので止めておく。
もうデータは集まったので黙ってdenyしておこう。ついでに国ごと来て要らんIPはdenyする様にIPフィルタリングした。もちろんWebサーバーにもアクセスして要らん。来るな。
さて、せっかくのネタなので、一応、IPひろばには報告しておいた。みんなで不正アクセス元はブラックリスト化してしまいましょう。
SSHアタックに関しては、一般的にTCP Wrapperで対処しておかなくてはならないので、ある程度アタックの傾向が見えたのでhosts.denyとhosts.allowを設定することにした。
/etc/hosts.deny
sshd: ALL
/etc/hosts.allow
sshd: *ap.plala.or.jp,ap.ocn.ne.jp
これで、ぷららとOCN以外はSSHアクセス不可能となる。
もしも使っているネットワークが固定IPなら確実にアクセス可能なIPが絞れますね。
参考
今回SSHDをTCP Wapperで制限したが、sshdが必要とするライブラリをlddコマンドを使って調べた上で設定したほうが良い。もしかしたらTCP Wrapperに対応していない可能性も・・・(実際に検証してみれば分かるけど)下記の例の場合はlibwrap.soが見つかったので、sshdへのアクセスをTCP Wrapperで制御できる。
# ldd /usr/sbin/sshd | grep wrap libwrap.so.0 => /lib64/libwrap.so.0 (0x00002b2fb047b000)
この辺りは、RHCE/CTの勉強の時にやったので一応覚えているが、カスタマイズの仕方までは学習していないので、より応用的な手法は学習するしかない。必要に迫られないと調べないのが現実だけど。
ついでにftpdも同様に設定しておいた方がいいですね。アクセスする可能性のあるアドレス以外は拒否(deny)が基本です。実験的に手法とか調べるために餌(ハニーポッド)にしておくなら話は別ですが、長く続けると入られちゃう可能性あるので程ほどに。
投稿者 sasapurin : 2011年06月20日 22:04 | Network系 , コンピュータ , 雑記
トップページ > コンピュータ > 悪質なIPアドレスを晒してみる
トラックバック
このエントリーのトラックバックURL:
http://blog.sasapurin.com/mt-tb.cgi/1036
