[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:9214] ｓｓｈへのアタック

To: connect24h@xxxxxxxxxx
Subject: [connect24h:9214] ｓｓｈへのアタック
From: Sokichi <sokichi@xxxxxxxxxxxxxxxxxx>
Date: Thu, 02 Jun 2005 11:55:44 +0900

池田といいます。

2台の固定IPを持つLinuxサーバを運用しているのですが、
ここ最近のsshへのアタックに変化があり心配になったので
ご相談させてください。

これまでは海外から不特定のサイトに対するものだろうと
思われる以下のようなものが多かったのですが、
Security Violations
=-=-=-=-=-=-=-=-=-=
Jan  3 02:57:36 tl7s sshd[8047]: Illegal user test from 218.1.128.251
Jan  3 02:57:39 tl7s sshd[8049]: Illegal user guest from 218.1.128.251
Jan  3 02:57:45 tl7s sshd[8051]: Illegal user admin from 218.1.128.251

ここ数日は以下のように明らかに日本にあるサーバをターゲットに
していると思われるものが増えてきました。
Security Violations
=-=-=-=-=-=-=-=-=-=
Jun  1 20:25:55 dns sshd[19054]: Illegal user itoh from 222.106.128.38
Jun  1 20:25:57 dns sshd[19056]: Illegal user yamane from 222.106.128.38
Jun  1 20:25:57 dns sshd[19058]: Illegal user hashimoto from 222.106.128.38
Jun  1 20:25:58 dns sshd[19060]: Illegal user otsuka from 222.106.128.38
Jun  1 20:25:59 dns sshd[19062]: Illegal user nakao from 222.106.128.38
Jun  1 20:26:00 dns sshd[19064]: Illegal user takei from 222.106.128.38
Jun  1 20:26:01 dns sshd[19066]: Illegal user furukawa from 222.106.128.38
Jun  1 20:26:02 dns sshd[19068]: Illegal user ooishi from 222.106.128.38
Jun  1 20:26:03 dns sshd[19070]: Illegal user ooshima from 222.106.128.38
Jun  1 20:26:04 dns sshd[19072]: Illegal user okazaki from 222.106.128.38
Jun  1 20:26:05 dns sshd[19074]: Illegal user okada from 222.106.128.38
Jun  1 20:26:05 dns sshd[19076]: Illegal user kou from 222.106.128.38
Jun  1 20:26:06 dns sshd[19078]: Illegal user joubira from 222.106.128.38
Jun  1 20:26:07 dns sshd[19080]: Illegal user sonoda from 222.106.128.38
Jun  1 20:26:08 dns sshd[19082]: Illegal user sodoma from 222.106.128.38
Jun  1 20:26:08 dns sshd[19084]: Illegal user isogai from 222.106.128.38

これまでは特に気にしていなかったのですが、
これだといつかユーザIDが知られると思うと少し気になりました。

sshのポートをオープンにしている方はこのようなアタックに対して
何か対応をとられているのでしょうか？
FTPなどは特定のIPからしかアクセスできないようにしているのですが、
sshの場合、モバイル端末などからアクセスする都合上、運用に支障が
でるので現在はIPの制限をかけていません。
やはり、面倒でもアタックしてくるIPなどを片っ端から
拒否していった方がいいのでしょうか？

何かアドバイスがあればご教授ください。
よろしくお願いします。

---------
@ Ikeda Sokichi


--[PR]------------------------------------------------------------------
　◎デジハリ・オンラインスクール 開校記念キャンペーン開催中◎
　　┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
　　┃祝！開校！！ 資料請求で「いきなりPDF」が１０名様に当たる！┃
　　┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
　　　　　　　　　 　 http://ad.freeml.com/cgi-bin/ad.cgi?id=dr2wB
------------------------------------------------------------------[PR]--
■GMO INTERNET GROUP■ GMO INTERNET www.gmo.jp

Follow-Ups:
- [connect24h:9215] Re: ｓｓｈへのアタック
  - From: nonolin
- [connect24h:9216] Re: ｓｓｈへのアタック
  - From: toki
- [connect24h:9218] Re: ｓｓｈへのアタック
  - From: KATOH Yasufumi
- [connect24h:9219] Re: ｓｓｈへのアタック
  - From: Sokichi
- [connect24h:9226] Re: ｓｓｈへのアタック
  - From: YOSHIOKA Wataru

Prev by Date: [connect24h:9213] Re: Snortユーザ会のBoF
Next by Date: [connect24h:9215] Re: ｓｓｈへのアタック
Previous by thread: [connect24h:9210] Re: 情報漏洩対策
Next by thread: [connect24h:9215] Re: ｓｓｈへのアタック
Index(es):
- Date
- Thread