こすげです。
台風来てますねぇ。今日は本来なら学園祭なのですが、台風が接近しているのでお休みになりました。で、今、自宅にいます。
さて、アタックの傾向を見ていて気になる傾向があることに気づきました。
僕はかなり物理的にかなり離れたIPアドレスを持った2つのホストでSSHアタックを観測しているのですが、かなり短い時間間隔で、同じホストからアタックを受けるケースが増えているんですね。僕がSSHアタックを観測しているのを趣味(笑)にしているという事を知っているのは、ごく一部の日本人だけでしょうから、これはうちのホストを狙い撃っているのではなく、単にSSHアタックを行っているアタックツールが、高速スキャンを行っている結果なんじゃないかと思っています。
例えば、今朝方、1つのホストにあったアタックなんですけどね
67.43.56.146 2010-10-30 03:17:21
こんなアタックがあったんです。その後、およそ3時間後に、全く異なるIPを持つホストに
67.43.56.146 2010-10-30 06:36:16
こんな感じのアタックがありました。
これって、同じアタックツールが出した不正アクセスを目的としたパケットなんでしょうけど、もしIPアドレスを順番にアタックしているのだとすると、かなり高速にスキャンをしているように思います。このIPアドレスに対して、こちらからポートスキャンをしてみると
PORT STATE SERVICE
22/tcp open ssh
25/tcp filtered smtp
80/tcp open http
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
843/tcp open unknown
1720/tcp filtered H.323/Q.931
4000/tcp open remoteanything
5060/tcp open sip
8080/tcp open http-proxy
31337/tcp open Elite
って感じです。まず、httpポートが開いているんですけど、たたいてみるとレスポンス自体はあるのですが、内容は何もないようです。
また、見慣れない、4000/tcp、31337/tcp が開いていますけど、これらはちょっと古い情報ですがここによると、
4000/tcpは
Skydance, Remote Anything , ZZMM, Hostem
また、31337/tcpは
Baron Night, BO client, BO2, Bo Facil, ADM worm, Back Fire, Back Orifice (Lm), Back Orifice russian, BlitzNet, Freak88, Freak2k, NoBackO
なんて、トロイの木馬が使用しているポートみたいです。この情報最終更新が5年前なのでかなり古い情報ですし、どこまで信じて良いのか分かりません。ですが、伝統ある(笑)不正アクセスプログラムが使用するポートのようです
まあ、ここで言えるのは、広範にIPアドレスをスキャンする、スキャン速度の高いアタックツールが出回っているって事なんですけどね。
耳便り(ひとまず)
12 年前
0 件のコメント:
コメントを投稿