パスワードを忘れた? アカウント作成
53759 journal

lazy_chainの日記: しつこい攻撃 2

日記 by lazy_chain
家の PC の /var/log/auth.log が ssh による攻撃の跡で埋め尽くされていて、 とんでもないことに。
攻撃元のアドレスを調べてみたらアイルランドだった。 試しに w3m でそのアドレスを開いてみたら通販会社の顧客用ログイン画面に繋がった。 そこから辿ったメールアドレスに苦情を出して、ようやく止まる。

hosts.deny を ALL: ALL にしているんだから、すぐに諦めろっての。 こんなにしつこいヤツは初めて。昨日の夕方から全部で 15000 回。
このためにわざわざ gmail のアカウントまで作ってしまった。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ログを監視して、こういうのがあると iptables で時限 DROP してくれますよ。
    • おー、これは便利ですね。
      ubuntu 8.04 で apt-get でインストールしましたが基本的にはデフォルトの設定で良さそう。
      以下、動作確認のメモ

      hosts.allow に記載されているアドレスをコメントアウトして、そこから ssh で 接続を試みる。 jail.conf で ssh に関しては maxretry = 6 と設定されているので、攻撃側では 6 回目までは
      ssh_exchange_identification: Connection closed by remote host
      となり、接続は可能。それ以降の接続はタイムアウト(auth.log にもログは残らない)。 ただ、デフォルトの bantime は短いので長くしました。

      有用な情報ありがとうございました。
typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...