SSH辞書攻撃が爆発的に増えた件


 今日8月8日は妙にSSH辞書攻撃が多かった。20:41時点で333件検知しており、しかも日本からの攻撃が14件と非常に多くなっている。これまでの日本からの攻撃の検知は月平均2〜4回程度だったから爆発的と言っていいだろう。

 8月に入って普段と違うのは、どうやらSSH辞書攻撃を試みるボットネットが稼働しているっぽいこと。ボットネットを使ってアルファベット順に多数のホストから攻撃することで、こちら側で対処しづらいようにしているようだ。ログを追っていくと、最初はaから始まるIDだったのが今はtくらいまで来ている。個々のアクセスは別IPからなので一定条件を満たすとiptables -j DROPといった対応もできない。

 ちなみに、今日だけで日本からの攻撃元は以下。

  • sv.daiwajuhan-office.jp[210.189.77.55]
  • 112.78.114.165
  • 210.158.36.131
  • 112.78.113.167
  • 112.78.192.216
  • 210.158.36.197
  • 202-226-241-65.ppps.bbiq.jp[202.226.241.65]
  • 211.12.39.37
  • p024335.osakff01.ap.so-net.ne.jp[121.2.67.53]
  • FL9-119-243-73-41.tky.mesh.ad.jp[119.243.73.41]
  • mail.flowergate-floreal.com[112.78.116.26]
  • 210.188.206.40
  • 219.94.198.156
  • ns.guravia.net[210.166.209.181]

 神奈川の不動産屋や東京の花屋からエロサイトまで色々だが、ほとんどが何らかのインターネットサービス用に立てられているようだ。FreeBSDやLinuxなどUnix系のOSもアタックを受けないわけではなく、むしろ逆に踏み台にされやすいので、立てるならそれなりの対策を立てるべきなのは言うまでもない。