ホーム > Diary, Server > 不正アクセスがほんと増えてきた

不正アクセスがほんと増えてきた

2011 年 8 月 5 日 コメントをどうぞ コメント

ほんっと簡便してほしいなぁ。

実験中なサーバとかならまだしも(といってもそういうサーバをネットに繋げるなというのは常識だが)
大衆に対してサービスを提供しているサーバからもどんどん増えてきてます。
今のところ我が家とデータセンターへの不正アクセスは合わせて海外7割、日本3割って感じです。

辿って行くとネットワーク構築やらシステム開発やらの日本の中小企業からってのも結構あって、
乗っ取られるような会社に仕事依頼したくねーなーと思いながらDenyしてます。

こんな感じ。(lastb | more から抜粋)

guest ssh:notty mhp3s.ggrks.me Thu Aug 4 16:42 – 16:42 (00:00)
root ssh:notty mhp3s.ggrks.me Thu Aug 4 16:42 – 16:42 (00:00)
root ssh:notty mhp3s.ggrks.me Thu Aug 4 16:42 – 16:42 (00:00)
root ssh:notty mhp3s.ggrks.me Thu Aug 4 16:42 – 16:42 (00:00)
root ssh:notty mhp3s.ggrks.me Thu Aug 4 16:42 – 16:42 (00:00)
root ssh:notty mhp3s.ggrks.me Thu Aug 4 16:42 – 16:42 (00:00)
root ssh:notty mhp3s.ggrks.me Thu Aug 4 16:42 – 16:42 (00:00)
root ssh:notty mhp3s.ggrks.me Thu Aug 4 16:42 – 16:42 (00:00)
root ssh:notty mhp3s.ggrks.me Thu Aug 4 16:42 – 16:42 (00:00)
root ssh:notty mhp3s.ggrks.me Thu Aug 4 16:42 – 16:42 (00:00)
root ssh:notty mhp3s.ggrks.me Thu Aug 4 16:42 – 16:42 (00:00)
root ssh:notty mhp3s.ggrks.me Thu Aug 4 16:42 – 16:42 (00:00)
root ssh:notty mhp3s.ggrks.me Thu Aug 4 16:42 – 16:42 (00:00)
prueba ssh:notty 211.227.205.66 Thu Aug 4 06:38 – 06:38 (00:00)
pol ssh:notty 211.227.205.66 Thu Aug 4 06:38 – 06:38 (00:00)
webmaste ssh:notty 211.227.205.66 Thu Aug 4 06:38 – 06:38 (00:00)
scanner ssh:notty 211.227.205.66 Thu Aug 4 06:38 – 06:38 (00:00)
david ssh:notty 211.227.205.66 Thu Aug 4 06:38 – 06:38 (00:00)
david ssh:notty 211.227.205.66 Thu Aug 4 06:38 – 06:38 (00:00)
laura ssh:notty 211.227.205.66 Thu Aug 4 06:38 – 06:38 (00:00)

ggrks.meとかどう見ても個人で日本人だろと思って調べてしまった。
PSP NetParty(ネトパ ネット経由でPSPの通信対戦とかが出来る)の公開サーバの人のだった。
rootを乗っ取られてる鯖に自分のIPが記録されてるなんて考えただけでいや過ぎる・・・。
乗っ取られた原因がsshにアタックされたのか、そのアプリのせいなのかは知らない。

そして他のサーバにも不正アクセスで晒されてる始末。
http://qxxp.jp/refusedssh.html

ちなみにggrks.meの攻撃力は2分間で150件ぐらいというなんとも過激なアタック。
我が家への不正アクセスは5回ぐらい同じIPでパスワードを間違えると自動でhosts.denyにALL:で書かれて
永久追放+自分で管理してる鯖全部で共有してるのでそれ以上は来ませんけどね。

IPアドレスは182.48.58.92だから、さくらの専用鯖あたり?
CentOS5.5、Mem512MB、SWAP2GB、100MB共有ってことはさくらのVPS 512?
専用で100Mbps共有なんて月3万円以上だし、そもそもMem512MBなんてないし、
VPSならprocinfoはCore2Duoに見えるけど実際はXeonだし・・・うーん。
DNSレジストラはムームードメイン、MXレコードはGmailになってるからGmailで独自ドメイン運用中の模様。

と、上記は誰でも調べられることだけど問題はこの下。

rootのパスワードを使いまわしてると最悪の場合は全部情報を抜かれ、
メールを見られたり(メアドはサイトに書いてるし、MXレコードでGmailで独自ドメインだと容易にわかる)、
lastコマンドなりで自宅のIPを調べてリモートデスクトップでこっそりとリモート操作されたり、
DNSのAレコードを書き換えられてウィルスやらフィッシングサイトやらにされて
各ベンダーのセキュリティソフトのブラックリスト行き→永久アクセス不可とかになっちゃうよー。

まぁ記事にしてしまった以上、あとでメールの一本でもしておくとする。

カテゴリー: Diary, Server タグ:
  1. コメントはまだありません。
  1. トラックバックはまだありません。