管理者/sshd への攻撃を撃退 のバックアップ差分(No.1)
更新- 追加された行はこの色です。
- 削除された行はこの色です。
[[公開メモ]] #contents * sshd へのブルートフォース攻撃 [#uf3860a9] sshd への総当たり攻撃について、古い記事だけれど次のものを読みました。 http://yoosee.net/d/archives/2005/11/08/002.html で、気になって調べてみました。 * ログの調べ方 [#o84361fa] 疑わしいアクセスに /var/log/auth.log に POSSIBLE BREAK-IN ATTEMPT! という文字が付くので、 これを抜き出してみました。すると・・・ $ gunzip -c /var/log/auth.log.*.gz | cat - /var/log/auth.log* | grep "POSSIBLE BREAK-IN ATTEMPT" | sed -e "s/.*getaddrinfo for //g" -e "s/ failed - .*//g" | sort | uniq -cd 201 116.214.25-66.del.tulipconnect.com [116.214.25.66] 189 18.136.142.219.broad.bj.bj.dynamic.163data.com.cn [219.142.136.18] 289 82-102-134-122.orange.net.il [82.102.134.122] 1221 bbsfix-168-26-142-118-on-nets.com [118.142.26.168] 82 corporat201-244190250.sta.etb.net.co [201.244.190.250] 129 ilink19.eprotea-finexus.com [202.151.225.19] 290 ip37.ccpu.com [216.54.134.37] 4413 ip94.dyn1.charleroi3.schedom-europe.net [83.101.41.94] 70129 powersportsupport.com [208.101.55.178] わんさか出ました(TT ログは最新のものが /var/log/auth.log で、次が /var/log/auth.log.1、 さらに古いものは圧縮されて /var/log/auth.log.?.gz の形になっているので、~ + gunzip -c /var/log/auth.log.*.gz | cat - /var/log/auth.log* ですべてを繋げます。 + grep "POSSIBLE BREAK-IN ATTEMPT" で該当行を抜き出して、 + sed -e "s/.*getaddrinfo for //g" -e "s/ failed - .*//g" でサーバー名だけを抽出して、 + sort でアルファベット順に並べてから + uniq -cd で同じサーバーからの攻撃が何件あるかを算出 という流れです。 * 撃退法 [#x8a72f23] * コメント [#ic967986] #comment_kcaptcha
Counter: 36863 (from 2010/06/03),
today: 1,
yesterday: 7