fragiler’s Security blog

某企業でセキュリティ担当しています。まだまだ勉強中の身ですが、遊びがてら発見したセキュリティ関連のことがらを呟こうと思います。

sshに対する不正アクセス

前回から少し間が開いてしまいましたが、その間sshに対する大量のログイン試行がありました。

 

41時間かけて10分間隔でダラダラとログインを試していたようです。

以下がログイン試行に使われたアカウント達です。

f:id:fragiler:20170423223810p:plain

admin的なものもあればOS名もあればCMS名もあれば、testとかbotとかgitとかいろんなものを混ぜ合わせたリストですね。

 

なお、このログインが試された実験サーバは特定のアカウント以外はsshログインできないようにしており、証明書による認証も行っているので全く問題なし。

 

ただsshのポート番号を22から変更しているのですが、見つけた途端これだけのアカウントでログインを試すということは、sshのポートを探し出して見つけたらログインを試みるようなものがいるのでしょうね。

 

ちなみにsshポート番号を22のままにしておいた時は、毎日のようにログイン試行がありました。ポート番号を変えると少しはリスク低減になるのかもしれません。