ブルートフォースアタックという攻撃だと思います。
Jul 29 01:49:51 s6540 sshd[35536]: Failed password for illegal user student from 68.123.194.188 port 55769 ssh2
Jul 29 01:49:55 s6540 sshd[35575]: Failed password for illegal user postgres from 68.123.194.188 port 55851 ssh2
Jul 29 01:49:58 s6540 sshd[35607]: Failed password for illegal user cvs from 68.123.194.188 port 55937 ssh2
Jul 29 01:50:02 s6540 sshd[35637]: Failed password for illegal user student from 68.123.194.188 port 56018 ssh2
Jul 29 01:50:05 s6540 sshd[35765]: Failed password for illegal user janet from 68.123.194.188 port 56103 ssh2
Jul 29 01:50:09 s6540 sshd[35796]: Failed password for illegal user user from 68.123.194.188 port 56190 ssh2
Jul 29 01:50:13 s6540 sshd[35822]: Failed password for illegal user john from 68.123.194.188 port 56272 ssh2
Jul 29 01:50:16 s6540 sshd[35862]: Failed password for illegal user zeus from 68.123.194.188 port 56362 ssh2
Jul 29 01:50:20 s6540 sshd[35899]: Failed password for illegal user proftpd from 68.123.194.188 port 56435 ssh2
Jul 29 01:50:24 s6540 sshd[35930]: Failed password for illegal user gateway from 68.123.194.188 port 56520 ssh2
Jul 29 01:50:27 s6540 sshd[35960]: Failed password for root from 68.123.194.188 port 56607 ssh2
Jul 29 01:50:31 s6540 sshd[35990]: Failed password for illegal user print from 68.123.194.188 port 56685 ssh2
Jul 29 01:50:34 s6540 sshd[36016]: Failed password for illegal user info from 68.123.194.188 port 56776 ssh2
Jul 29 01:50:38 s6540 sshd[36046]: Failed password for illegal user wang from 68.123.194.188 port 56855 ssh2
Jul 29 01:50:42 s6540 sshd[36076]: Failed password for illegal user info from 68.123.194.188 port 56939 ssh2
Jul 29 01:50:45 s6540 sshd[36114]: Failed password for illegal user monitor from 68.123.194.188 port 57027 ssh2
Jul 29 01:50:49 s6540 sshd[36150]: Failed password for illegal user service from 68.123.194.188 port 57105 ssh2
こんな感じに無理矢理にログインしようとするのが6時間くらい続いたりします。
http://d.hatena.ne.jp/kanata_ail/20050802#1123032145
うちはこんな感じに対策しました。
既知のリストみたいな物つかうのかしりませんがsshでログインを試みてますよ(知り合いの管理者もぼやいてたけど)、
一回のアクセスで60件ほどのアカウントをトライしてます。
Aug 21 14:42:13 XXXX sshd[18270]: Invalid user tracy from ::ffff:210.XXX.XXX.XXX ←ここからはじまって
Aug 21 14:44:21 XXXX sshd[18422]: Invalid user printf from
おとり (スコア:0)
辞書使ってrootログインしようとするのってスキャン? (スコア:1)
誤記 FireFox
巫女 Firefox [mozdev.org]
Re:辞書使ってrootログインしようとするのってスキャ (スコア:0)
#うちは ssh のポートをデフォルトから変えて対策してみたり
Re:おとり (スコア:1)
sshの古い脆弱性を突いて侵入し、攻撃ツールがインストール
されてしまいます。
その後、同じように他のサーバを攻撃し始めます。
同時に外国のIRCサーバに繋げてbot化します。
そしてIRCを介してサーバ内の情報を引き出したり、
コマンドを送り込まれることで一斉に発症します。
たぶん信州大学内にbot化したサーバがあるのでしょう。
ps とか netstat をやってみるだけですぐわかるはずですが、
自分のサーバがbot化していても長期間気づかない管理者は
意外に多いようです。
Re:おとり (スコア:0)
Re:おとり (スコア:0)
既知のリストみたいな物つかうのかしりませんがsshでログインを試みてますよ(知り合いの管理者もぼやいてたけど)、
一回のアクセスで60件ほどのアカウントをトライしてます。
Aug 21 14:42:13 XXXX sshd[18270]: Invalid user tracy from ::ffff:210.XXX.XXX.XXX ←ここからはじまって
Aug 21 14:44:21 XXXX sshd[18422]: Invalid user printf from
Re:おとり (スコア:1, 参考になる)
Re:おとり (スコア:0)
Re:おとり (スコア:1, 参考になる)
Re:おとり (スコア:2, おもしろおかしい)
Re:おとり (スコア:0)
定期的なパスワードの変更は「逆ブルートフォースアタック」とも言えますね。
Re:おとり (スコア:0)
そんなパケットを投げて何か(クラックする上での)情報を獲得できるんでしょうか。
クラック素人からの純粋な疑問です。
とりあえずうちにも・・・ (スコア:0)
大きな休み(春休み、夏休み、冬休みなど)があると
慶應義塾大学、嘉悦女子短期大学、熊本県立大学から来られます。