一馬力のメモ帳

MVSからLinuxまで。基盤屋さんは眠らない

port22を開放してアタックの傾向を調べてみた

さくらのクラウドの無料クーポン券をもらったのでport22を開放してアタックの傾向を調べてみた
ichibariki.hatenablog.com

目次


調査の概要

調査期間等の情報は以下の通り。
小難しいツールなどは利用せず,基本的なコマンドをパイプで繋いで分析してみた

rootへのブルートフォースアタック国別集計

対象ログのフォーマット例

[root@CentOS7 log]# grep "Failed password for root from" secure|head -n1
May  1 04:31:06 CentOS7 sshd[11789]: Failed password for root from xxx.xxx.xxx.xxx port 60433 ssh2

調査コマンド

[root@CentOS7 log]# grep "Failed password for root from" secure*|awk -F " " '{print $11}'|xargs -n 1  geoiplookup -f /usr/share/GeoIP/GeoLiteCountry.dat|sort|uniq -c|sort -n

調査結果

アタック件数 GeoIPからの検索結果(国名)
9 GeoIP Country Edition: JP, Japan
12 GeoIP Country Edition: TR, Turkey
13 GeoIP Country Edition: DE, Germany
15 GeoIP Country Edition: NL, Netherlands
19 GeoIP Country Edition: UA, Ukraine
21 GeoIP Country Edition: LT, Lithuania
21 GeoIP Country Edition: US, United States
55 GeoIP Country Edition: RU, Russian Federation
4515 GeoIP Country Edition: HK, Hong Kong
7527 GeoIP Country Edition: CN, China

ユーザ探し

対象ログのフォーマット例

[root@CentOS7 log]#  grep  "Invalid user" secure|head  -n1
May  1 06:45:00 CentOS7 sshd[11930]: Invalid user ubnt from xxx.xxx.xxx.xxx

調査コマンド

[root@CentOS7 log]# grep  "Invalid user" secure*|awk -F " " '{print $8}'|sort|uniq -c|sort -n

調査結果(上位)

出現件数 キーワード
4 somesecguy
4 webalizer
6 ubuntu
7 flw
8 test
8 user
10 Admin
10 guest
11 Dreambox
12 vagrant
16 a
17 support
21 oracle
25 csgoserver
39 ubnt
43 pi
62 postgres
126 admin

調査結果(グラフ)

f:id:htbariki:20160505125935p:plain

まとめ

  • アタック元上位の国は中国+香港がほぼすべて
  • ユーザ探しはadminが上位,postgresもやや多め
  • Raspberry PiのID "pi"も割と狙われている

セキュティ設定は大事だよ。
port22開放していると,狙われるよ。っていうメモでした。

皆様気をつけましょうね。

試した環境

[root@CentOS7 ~]# cat /etc/redhat-release
CentOS Linux release 7.2.1511 (Core)
[root@CentOS7 ~]# uname -a
Linux CentOS7 3.10.0-327.10.1.el7.x86_64 #1 SMP Tue Feb 16 17:03:50 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux