SSHへのアタックが三度来まくり・・・
以前 書いた SSHへのアタックが、一時期沈静化して、またたくさん来るようになったのも落ち着いてたのに、また来るようになった(長いな)。
今回のは、多数のホストから一斉に来て少数の試行だけで終了してるのがこれまでとちょっと違う感じ。
ボットネットとかで多数のクライアントから分散してブルートフォースするようになったのかなぁ?
あと、これまではrootアカウントを狙ってるのが多かったけど、今回はmysqlアカウントが多い。
mysqlが入ってないサーバにも来てるので、mysqlのポートが開いてるヤツだけを狙い撃ちにしてる訳じゃなさそうな予感。
(まぁ、mysqlが入ってるサーバも、外からのコネクションは入口でdenyしてるんだけど)
それと、以前はPasswordAuthenticationで引っかかってたのがChallengeResponseAuthenticationの方で引っかかるようになってるので、何か攻撃の手法が変わってるっぽい。
PasswordAuthenticationで引っかかる場合、ログにはIPアドレスで出るので、それを拾ってブロックしてたんだけど、ChallengeResponseAuthenticationだとPAMから逆引き名でログに出てくるから、gethostbynameしてIPアドレスに戻してブロックするようにマイナーチェンジ(謎)。
マイナーチェンジはいいんだけど、元々の「ログが肥大してウザいから減らしたい」という要望(?)から見ると、分散で来るからあんまり効果無いなぁ(^^;
| 固定リンク
「パソコン・インターネット」カテゴリの記事
- LA2306xに替えてみた(2012.06.11)
- AdWordsのDM(2011.03.10)
- HDCS-U1.5R2買ってきた(2009.12.19)
- ストリートビュー、エリア拡大(2009.12.02)
- Amazon送料無料キャンペーン延長(2009.11.04)
この記事へのコメントは終了しました。
コメント