アーカイブ

2015 年 3 月 のアーカイブ

サーバへの不正アクセスがまたあった!!

2015 年 3 月 24 日 Comments off

久しぶりの投稿になりますね。

今年に入っていつの間にか3月も終わる時期になりました。

やく2ヶ月ぶりの更新です。(^^;

サーバも結構放置プレイでしたので久しぶりにログを覗いてみると・・・・・・

 

相変わらずいろいろと変なアクセスがあります。

以下にIP伏せずに書いちゃいます。問題あればご連絡ください。というか私のサーバへの不正アクセスなので立派な犯罪ですね。連絡来ることは、自分が犯人ですといっているようなものです。

 

-rw-------   1 root  root  1171076  1月 31 02:22 2015 secure-20150201
-rw-------   1 root  root     9739  2月  7 03:59 2015 secure-20150208
-rw-------   1 root  root     2129  2月 14 02:45 2015 secure-20150215
-rw-------   1 root  root     2772  2月 21 02:24 2015 secure-20150222
-rw-------   1 root  root    11149  2月 28 02:41 2015 secure-20150301
-rw-------   1 root  root     1760  3月  7 04:13 2015 secure-20150308
-rw-------   1 root  root     2681  3月 14 02:39 2015 secure-20150315
-rw-------   1 root  root     7661  3月 21 20:03 2015 secure-20150322

上記のログファイルを見るとsecure-20150208のログが異常に大きいのがわかります。
今までは、httpdのerrorログとかで不正アクセスがありましたが今回は、違いました。

Jan 25 02:21:06 www16071ue sshd[3810]: Invalid user nishida from 49.212.XXX.XXX 
Jan 25 02:21:06 www16071ue sshd[3811]: input_userauth_request: invalid user nishida
Jan 25 02:21:06 www16071ue sshd[3810]: pam_unix(sshd:auth): check pass; user unknown
Jan 25 02:21:06 www16071ue sshd[3810]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=wwwXXX.XXX.sakura.ne.jp
Jan 25 02:21:06 www16071ue sshd[3810]: pam_succeed_if(sshd:auth): error retrieving information about user nishida
Jan 25 02:21:08 www16071ue sshd[3810]: Failed password for invalid user nishida from 49.212.XXX.XXX port 34407 ssh2
Jan 25 02:21:08 www16071ue sshd[3811]: Received disconnect from 49.212.XXX.XXX : 11: Bye Bye
Jan 25 02:22:16 www16071ue sshd[4262]: Invalid user nishihiro from 49.212.XXX.XXX 
Jan 25 02:22:16 www16071ue sshd[4263]: input_userauth_request: invalid user nishihiro
Jan 25 02:22:16 www16071ue sshd[4262]: pam_unix(sshd:auth): check pass; user unknown
Jan 25 02:22:16 www16071ue sshd[4262]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=wwwXXX.XXX.sakura.ne.jp
Jan 25 02:22:16 www16071ue sshd[4262]: pam_succeed_if(sshd:auth): error retrieving information about user nishihiro
Jan 25 02:22:19 www16071ue sshd[4262]: Failed password for invalid user nishihiro from 49.212.XXX.XXX  port 36534 ssh2
Jan 25 02:22:19 www16071ue sshd[4263]: Received disconnect from 49.212.XXX.XXX : 11: Bye Bye
Jan 25 02:23:28 www16071ue sshd[4291]: Invalid user nisshi from 49.212.XXX.XXX 
Jan 25 02:23:28 www16071ue sshd[4292]: input_userauth_request: invalid user nisshi
Jan 25 02:23:29 www16071ue sshd[4291]: pam_unix(sshd:auth): check pass; user unknown
Jan 25 02:23:29 www16071ue sshd[4291]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=wwwXXX.XXX .sakura.ne.jp
Jan 25 02:23:29 www16071ue sshd[4291]: pam_succeed_if(sshd:auth): error retrieving information about user nisshi
Jan 25 02:23:31 www16071ue sshd[4291]: Failed password for invalid user nisshi from 49.212.XXX.XXX  port 38652 ssh2
Jan 25 02:23:31 www16071ue sshd[4292]: Received disconnect from 49.212.XXX.XXX : 11: Bye Bye
*
*
Jan 30 13:05:27 www16071ue sshd[8153]: Invalid user ftpuser from 49.212.XXX.XXX 
Jan 30 13:05:27 www16071ue sshd[8154]: input_userauth_request: invalid user ftpuser
Jan 30 13:05:27 www16071ue sshd[8153]: pam_unix(sshd:auth): check pass; user unknown
Jan 30 13:05:27 www16071ue sshd[8153]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.net
Jan 30 13:05:27 www16071ue sshd[8153]: pam_succeed_if(sshd:auth): error retrieving information about user ftpuser
Jan 30 13:05:29 www16071ue sshd[8153]: Failed password for invalid user ftpuser from 49.212.XXX.XXX port 39217 ssh2
Jan 30 13:05:29 www16071ue sshd[8154]: Received disconnect from 49.212.XXX.XXX : 11: Bye Bye
Jan 30 13:06:13 www16071ue sshd[8155]: Invalid user ftpusr from 49.212.XXX.XXX 
Jan 30 13:06:13 www16071ue sshd[8156]: input_userauth_request: invalid user ftpusr
Jan 30 13:06:13 www16071ue sshd[8155]: pam_unix(sshd:auth): check pass; user unknown
Jan 30 13:06:13 www16071ue sshd[8155]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.net
Jan 30 13:06:13 www16071ue sshd[8155]: pam_succeed_if(sshd:auth): error retrieving information about user ftpusr
Jan 30 13:06:14 www16071ue sshd[8155]: Failed password for invalid user ftpusr from 49.212.XXX.XXX port 41666 ssh2
Jan 30 13:06:14 www16071ue sshd[8156]: Received disconnect from 49.212.XXX.XXX : 11: Bye Bye
Jan 30 13:06:57 www16071ue sshd[8158]: Invalid user test01 from 49.212.XXX.XXX 
Jan 30 13:06:57 www16071ue sshd[8159]: input_userauth_request: invalid user test01
Jan 30 13:06:57 www16071ue sshd[8158]: pam_unix(sshd:auth): check pass; user unknown
Jan 30 13:06:57 www16071ue sshd[8158]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.net
Jan 30 13:06:57 www16071ue sshd[8158]: pam_succeed_if(sshd:auth): error retrieving information about user test01
Jan 30 13:06:59 www16071ue sshd[8158]: Failed password for invalid user test01 from 49.212.XXX.XXX  port 44115 ssh2
Jan 30 13:06:59 www16071ue sshd[8159]: Received disconnect from 49.212.XXX.XXX : 11: Bye Bye

明らかな辞書攻撃(ブルートフォースアタック)のログに類似するようです。
IPアドレスは、私がVPSで使用しているさくらインターネットで同じなのでもしかしたら踏み台にされているサーバかもしれません。
もう少し早めにわかっていればよかったのですが・・・・

ログを見るとログインには、失敗してますが怖いですね。もしアクセスに成功していたら・・・・
まあ、そうそうアクセスに成功するようなからくりには、していないので大丈夫と思いますが。

あととりあえず遅くなりましたが、さくらインターネットさんにも報告は、しときました。

連絡まちです。

早速追記です。

#####################################
3/24 1700で早速さくらインターネットより返信がありました。

###様

さくらインターネットabuse対策チームでございます。

ご連絡いただきましてありがとうございます。

ご提供いただきました情報の確認を行わせていただき
ました。

その結果、両IPアドレスにつきましては別案件にて該当サーバ
管理者への要請が行われており、ご提示いただいたログ情報の
日時以降に該当サーバ管理者より対応実施した旨の報告を受けて
いることが確認されました。

現時点で両IPからのアクセスが確認されておりません場合は
様子をみていただけましたら幸いでございます。

万一、現時点で同様のアクセスが確認されております場合は
お手数ではございますが改めて直近のログ情報などご提示いた
だけましたら確認を進めさせていただきます。

以上、よろしくお願いいたします。
不明点・お気づきの点などございましたら、本メール返信にて
お問い合わせください。
#####################################
とのこと文面を察するにどうやら踏み台にされていたようだ。
ということでIPアドレスは、伏せておきます。