- 2008年10月 3日 23:30
- Internet
自前で持っているLinuxサーバーだが、10月に入って一風変わった新しいアタックが来た。
うちのサーバーの場合、sshdは前段にipfilterをかましてあって、同一IPから設定値以上連続してログイン失敗した場合、そのIPからのアクセスを遮断するようにしてあるのだが、今回のアタックはなかなか巧妙な手口だった。
試行してくるログインユーザー名はaaa、aab、aacと単純に順ぐりに変わっていくだけなのだが、アクセス元IPアドレスが、
ログインユーザー名:IPアドレス
aaa:xxx.xxx.xxx.xxx
aab:yyy.yyy.yyy.yyy
aac:zzz.zzz.zzz.zzz
という風に、ログインユーザー名と同期して別々のIPアドレスからログインを試行してくるのである。これでは、ipfilterにひっかからん。
想像するに、どこかに親玉のホストがいて、その配下に感染したボットが束ねられていて(ボットネットって奴やね)、親玉ホストからのトリガーで配下のボットがログインを試行し、その結果を親玉ホストに返すようになっているのではないかな。
ちょこっと検索したら、もう報告が出てた。SANS ISC。
- Newer: 村上春樹さんノーベル賞!?
- Older: お腹がヤバイ
Comments:0
Trackbacks:0
- TrackBack URL for this entry
- http://www.sea-dog.jp/mvt/mt-tb.cgi/663
- Listed below are links to weblogs that reference
- sshdを狙った新しいアタック手法 from 電脳あざらしの泳ぎ
まで
コメント投稿には JavaScript が必要です。ブラウザのJavaScript 機能を有効にしてください。また、システム上確認 (PREVIEW) ができません。コメント入力後、ご確認の上、SUBMITボタンで投稿をお願いします。