しつこい攻撃 | lazy_chainの日記 | スラッシュドット・ジャパン

lazy_chainの日記：しつこい攻撃 2

日記 by lazy_chain 2009年01月30日 17時42分

家の PC の /var/log/auth.log が ssh による攻撃の跡で埋め尽くされていて、とんでもないことに。
攻撃元のアドレスを調べてみたらアイルランドだった。試しに w3m でそのアドレスを開いてみたら通販会社の顧客用ログイン画面に繋がった。そこから辿ったメールアドレスに苦情を出して、ようやく止まる。

hosts.deny を ALL: ALL にしているんだから、すぐに諦めろっての。こんなにしつこいヤツは初めて。昨日の夕方から全部で 15000 回。
このためにわざわざ gmail のアカウントまで作ってしまった。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

すべてのコメント取得

検索2コメント Log In/Create an Account

fail2ban をつかってみませう (スコア:1)

by tach (3) <tach@debian.org> on 2009年01月30日 18時24分 (#1502552) ホームページ日記

ログを監視して、こういうのがあると iptables で時限 DROP してくれますよ。
- Re:fail2ban をつかってみませう (スコア:1)
  
  by lazy_chain (35875) on 2009年01月30日 19時50分 (#1502595) 日記
  
  おー、これは便利ですね。
  ubuntu 8.04 で apt-get でインストールしましたが基本的にはデフォルトの設定で良さそう。
  以下、動作確認のメモ
  
  hosts.allow に記載されているアドレスをコメントアウトして、そこから ssh で接続を試みる。 jail.conf で ssh に関しては maxretry = 6 と設定されているので、攻撃側では 6 回目までは
  ssh_exchange_identification: Connection closed by remote host
  となり、接続は可能。それ以降の接続はタイムアウト(auth.log にもログは残らない)。ただ、デフォルトの bantime は短いので長くしました。
  
  有用な情報ありがとうございました。
  
  親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

しつこい攻撃 More ログイン

fail2ban をつかってみませう (スコア:1)

Re:fail2ban をつかってみませう (スコア:1)