« はげは母方から遺伝 独の研究チームが有力遺伝子発見 | Home | 良い音 »

2005年6月15日

swatch と ipfw で ssh アタックを防ぐ

ssh に来る不正アクセスがやっぱり厄介で仕方ない(一気にポート開こうとするから結構な負荷になる)ので、swatchとipfwでsshの不正アクセスを自動拒否する方法を参考に、swatchを仕掛けた。
attack されると root 宛てにメールが飛ぶが、結構な数になるのでメールは飛ばさないでログに吐くようにしておいた。ipfw は GENERIC カーネルでは動かないので、/sys/i386/conf/GENERIC に直接

/usr/src/sys/i386/conf/GENERIC


options IPFIREWALL
options IPFIREWALL_VERBOSE


と追加しておいた。管理がややこしくなるのでコンフィグレーションファイルは増やしたくないの(笑
後は cvsup しながら(*1) kernel をリビルドして再起動すればOK。

要はログをパースしてアドレスを引っ張ってくるだけなので、そのIPアドレス向けに nm(ry 掛けてどんなのからアタックがあるのか、ちょっと調べてみた。ほとんどWindowsで、例によって netbus が走ってたりする。国籍は最近は南米が多いようだ。

とりあえずそこの上流の root に報告。時差の関係もあるだろうが、対処は思ったより速く、即 connection が張れなくなった。持ち主に連絡が行ったか、フィルタでも掛けたんだろう。
報告前にサーバを見ると、パスワード制限のないvncサービスが提供されていたので、それを利用してみた。操作するのは流石に躊躇ったが、接続元だけでも、と思いこっそり調べてみた。

「悪意のある第三者」は中国のIPアドレスでした。

blog に検閲入れる前にやることがあるだろう、中国政府さんよ。

*1 ... ipfw するだけなら cvsup する必要は全くないが、せっかく再コンパイルするならと RELENG5_4 をチェックアウトしてきた。

トラックバック(0)

トラックバックURL: http://blog.unnamed.jp/cms/mt-tb.cgi/201

コメントする

この記事について

このページは、sakura2kが2005年6月15日 00:13に書いた記事です。

ひとつ前の記事は「はげは母方から遺伝 独の研究チームが有力遺伝子発見」です。

次の記事は「良い音」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。