さくらのクラウドの無料クーポン券をもらったのでport22を開放してアタックの傾向を調べてみた
ichibariki.hatenablog.com
目次
調査の概要
調査期間等の情報は以下の通り。
小難しいツールなどは利用せず,基本的なコマンドをパイプで繋いで分析してみた
- 調査期間 : 2016/4/10 - 5/4
- 環境 : さくらのクラウドの仮想サーバ(CentOS7)
- 対象ログ : /var/log/secure
- 利用ツール : awk,GeoIP,sort,grep等
rootへのブルートフォースアタック国別集計
対象ログのフォーマット例
[root@CentOS7 log]# grep "Failed password for root from" secure|head -n1 May 1 04:31:06 CentOS7 sshd[11789]: Failed password for root from xxx.xxx.xxx.xxx port 60433 ssh2
調査コマンド
[root@CentOS7 log]# grep "Failed password for root from" secure*|awk -F " " '{print $11}'|xargs -n 1 geoiplookup -f /usr/share/GeoIP/GeoLiteCountry.dat|sort|uniq -c|sort -n
調査結果
アタック件数 | GeoIPからの検索結果(国名) |
---|---|
9 | GeoIP Country Edition: JP, Japan |
12 | GeoIP Country Edition: TR, Turkey |
13 | GeoIP Country Edition: DE, Germany |
15 | GeoIP Country Edition: NL, Netherlands |
19 | GeoIP Country Edition: UA, Ukraine |
21 | GeoIP Country Edition: LT, Lithuania |
21 | GeoIP Country Edition: US, United States |
55 | GeoIP Country Edition: RU, Russian Federation |
4515 | GeoIP Country Edition: HK, Hong Kong |
7527 | GeoIP Country Edition: CN, China |
ユーザ探し
対象ログのフォーマット例
[root@CentOS7 log]# grep "Invalid user" secure|head -n1 May 1 06:45:00 CentOS7 sshd[11930]: Invalid user ubnt from xxx.xxx.xxx.xxx
調査コマンド
[root@CentOS7 log]# grep "Invalid user" secure*|awk -F " " '{print $8}'|sort|uniq -c|sort -n
調査結果(上位)
出現件数 | キーワード |
---|---|
4 | somesecguy |
4 | webalizer |
6 | ubuntu |
7 | flw |
8 | test |
8 | user |
10 | Admin |
10 | guest |
11 | Dreambox |
12 | vagrant |
16 | a |
17 | support |
21 | oracle |
25 | csgoserver |
39 | ubnt |
43 | pi |
62 | postgres |
126 | admin |
調査結果(グラフ)
まとめ
- アタック元上位の国は中国+香港がほぼすべて
- ユーザ探しはadminが上位,postgresもやや多め
- Raspberry PiのID "pi"も割と狙われている
セキュティ設定は大事だよ。
port22開放していると,狙われるよ。っていうメモでした。
皆様気をつけましょうね。
試した環境
[root@CentOS7 ~]# cat /etc/redhat-release CentOS Linux release 7.2.1511 (Core) [root@CentOS7 ~]# uname -a Linux CentOS7 3.10.0-327.10.1.el7.x86_64 #1 SMP Tue Feb 16 17:03:50 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux