UJP - 攻撃/ブルートフォースカテゴリのエントリ

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ 攻撃/ブルートフォース の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - 攻撃/ブルートフォースカテゴリのエントリ

 毎日のMailSumのレポートが楽しみな今日この頃.


 ブルートフォースは封じられた...が,よくみると近いサブネットからゆるりとアクセスが来ている.


AbuseIPDBにレポートするには,面倒なタイプ.
 
Wordpress 用FileManager を標的としたアクセスの観測等について
https://www.npa.go.jp/cyberpolice/important/2020/202011201.html

 WordPress用.
wp-content/plugins/wp-file-manager/readme.txt
wp-content/plugins/wp-file-manager/lib/php/
 Docker API用.
GET /v1.16/version
GET /version
GET /_ping
HEAD /_ping
GET /v1.18/coutainers/json
GET /v1.40/containers/json?all=1
GET /info
GET /images/json?

 アクセスログ状に,これらのアクセスが記録されて居たら,何かあるってことかな.
 IPAの発表.

インターネット定点観測レポート(2020年 7~9月)
https://www.jpcert.or.jp/tsubame/report/report202007-09.html

 TCP 445ポートが増えている模様.SMBですな.うちにもそういうのが届いて居るか,モニタリングしてみるかなぁ...
 日々遮断していることで,エラーも減って来ました. 


 総当たりで突破される可能性が低くなるだけの意味はあるね.ルータのCPUも目に見えて増えてはいないし.

 世の中的にはIoTマルウェアのパケットが増加しているそうだ.

日本国内のMiraiの特徴を持つパケットの送信元IPアドレス数急増について
https://blog.nicter.jp/2020/10/jp_mirai_spike/

 んー.プロバイダと切断する都度IPアドレスが変わるタイプを使われるとIPアドレスのブロックというのも限界(過剰)となることもあるということか.
 今日時点で53 IPを登録して来たけれど.(ほぼ手動)
 自分がレポートしたものが最初の事案もちらほら.たとえばこれ.



引用:
 Recent Reports: We have received reports of abusive activity from this IP address within the last week. It is potentially still actively engaged in abusive activities.
最近のレポート。先週、このIPアドレスから虐待的な活動の報告を受けました。それは潜在的にまだ積極的に虐待活動に従事しています。
 嫌がらせということも考えられるので,1レポートだけでも4%なのでしょう.でも間違いなく自分のルータが攻撃されたエビデンス.


 1日に14回もSSHで接続しようとしているので,間違いなく悪意があるでしょう.そんなサービスは提供していないので.
 SASL LOGIN authentication failedを発生させる接続を遮断.
ip filter 2601 reject-nolog 45.142.120.0/24 * * * *
ip filter 2602 reject-nolog 140.238.101.176 * * * *
ip filter 2603 reject-nolog 120.130.176.55 * * * *
ip filter 2604 reject-nolog 45.145.185.119 * * * *
ip filter 2605 reject-nolog 212.70.149.0/24 * * * *
ip filter 2606 reject-nolog 159.89.103.100 * * * *
ip filter 2607 reject-nolog 193.169.252.206 * * * *
ip filter 2608 reject-nolog 141.98.10.0/24 * * * *
ip filter 2609 reject-nolog 156.96.47.5 * * * *
ip filter 2610 reject-nolog 103.253.42.54 * * * *
ip filter 2611 reject-nolog 185.36.81.33 * * * *
ip filter 2612 reject-nolog 195.168.129.74 * * * *
ip filter 2613 reject-nolog 107.170.127.8 * * * *
ip filter 2614 reject-nolog 94.102.49.117 * * * *
ip filter 2615 reject-nolog 45.129.33.0/24 * * * *
ip filter 2616 reject-nolog 195.54.161.0/24 * * * *
ip filter 2617 reject-nolog 193.27.228.153 * * * *
ip filter 2618 reject-nolog 143.110.150.24 * * * *
ip filter 2619 reject-nolog 45.125.65.0/24 * * * *
ip filter 2620 reject-nolog 103.207.38.234 * * * *
ip filter 2621 reject-nolog 37.49.225.201 * * * *
ip filter 2622 reject-nolog 141.98.80.76 * * * *
ip filter 2623 reject-nolog 5.188.206.201 * * * *
ip filter 2624 reject-nolog 195.54.161.0/24 * * * *
ip filter 2625 reject-nolog 45.145.66.0/24 * * * *
 最初はフィルタ追加して遮断することで,相手の行動変化を観察しようとしたけれど,攻撃が止むモノ,気にせず攻撃を続けるモノの2つにしか別れないので,観察は中止して10件以上エラーを発生させている場合は普通にブロック.
 自動化していかねば...
 AbuseIPDBに自分の管理するIPアドレスが登録されてしまったので,アカウントを取得して解除申請をしたのだけれど,受け付けたとかどうだとか何もなく・・・


 もう一回申請しようとたら,協議中の事で静観...

 ふと,さっき見たら解除されていました.


 そして解除したとメールが来て居ました.

 3〜4日で解除されるということかな.よかったよかった.
 AbuseIPDBde被疑のIPアドレスを調査していて,デフォルトで自分のアクセスしたIPアドレスが入っている状態で,間違ってCHECKボタンを押してしまったら,なんと2020年9月20日に,登録されてしまってました.


ちょっと濡れ衣は困るので,削除してもらおうとコンタクトしようとすると・・・・


引用:
Important: Please do not contact us with requests to remove an IP address abuse report! Registered users have the option to remove their own reports via the "My Reports" section of your user control panel. Furthermore, there is an takedown request feature on the each reported IPs page, usable by all registered users.

重要: IPアドレスの不正使用レポートを削除する要求で私たちに連絡しないでください! 登録ユーザーは、ユーザーコントロールパネルの "マイレポート "セクションを介して自分のレポートを削除するオプションがあります。さらに、報告された各IPsページには、すべての登録ユーザーが利用できる削除要求機能があります。
 無料ユーザに登録すると,削除申請できるらしい...むむむっ・・・


引用:
Join the AbuseIPDB community, contribute abuse reports, and use the API to protect your lower-traffic servers and websites.
AbuseIPDB コミュニティに参加し、不正使用レポートを投稿し、API を使用して低トラフィックのサーバーやウェブサイトを保護します。

FREE FOREVER!
1,000 IP Checks & Reports / Day
100 Prefix Checks/Day
Basic Blacklist

 だそうです. 登録して,サインインする.


 拡大してこれ.



 REQUEST TAKEDOWN! 取り下げて!


 しばらく様子を見るか...と言いつつこれを買いている時点で23時間くらい経過しているけれど...
 ブロックして観察していると諦めてアクセスしてこなくなる場合もあれば,気にせず機械的にアクセスし続けて来る場合もある. 


2020.10.28のレポート

 現在の定義はこれ.
ip filter 2601 reject 43.142.120.0/24 * * * *
ip filter 2602 reject 140.238.101.176 * * * *
ip filter 2603 reject 120.130.176.55 * * * *
ip filter 2604 reject-nolog 45.145.185.119 * * * *
ip filter 2605 reject-nolog 212.70.149.0/24 * * * *
ip filter 2606 reject 159.89.103.100 * * * *
ip filter 2607 reject 193.169.252.206 * * * *
ip filter 2608 reject 141.98.10.0/24 * * * *
ip filter 2609 reject 156.96.47.5 * * * *
ip filter 2610 reject 103.253.42.54 * * * *
ip filter 2611 reject 185.36.81.33 * * * *
ip filter 2612 reject 195.168.129.74 * * * *
ip filter 2613 reject 107.170.127.8 * * * *
 あまりにも遮断されるアクセスが多いものは,ログあふれも頻繁に発生させるのでreject-nologとして観察も中止.

3年前に「ヤマハのRTX1100で中国からの不正なVPNをブロックする」として観察していた不正アクセスしてくるTop 10のIPアドレスは,今調べるとほとんどはクリーンなIPアドレスとして評価されている模様.(情報が抹消されただけと)
 イランからのブルートフォース.止めるまでの間にも攻撃を加速していた模様.


 1600回越えだったものが1000以下にできたのでサブネットでブロックしたのも効果的か.
 ただし,そうするとまた新たな攻撃が目立って来る.


 イギリスのやばいやつだ.Fixed Line ISPってなっているので,固定IPでSASL LOGINしてきているので,MI5かなにかか?

 ということで,サブネットでブロックして見たけれど,えらいことになりました.


 4秒に一回程度のスピードで複数のIPアドレスを使ってブルートフォースしてきている.

 ふと,攻撃遮断くんを眺めていたら・・・


 見覚えのあるIPアドレスが....国旗を見ると,こちらもイランになっている.イランのサイバー攻撃手法でイギリスにある固定IPのサーバが乗っ取られて攻撃してきているということか?(全部推測)

攻撃遮断くん 統計データ
https://shadan-kun.com/map/


 APT33かな?

ATP33
https://attack.mitre.org/groups/G0064/

引用:
APT33は、少なくとも2013年から活動を行っているイランの脅威グループと疑われています。同グループは、米国、サウジアラビア、韓国の複数の産業にまたがる組織を標的にしており、特に航空・エネルギー分野に関心を寄せている。
 うちのサイトも,空飛ぶポケモンを大事にしているし,メガシンカさせるためのメガエナジーを貯めているのでそういうサイトに該当するのかも.
 うちのメールサーバのMailSumのレポートを見ていると,SASL Loginに大量の失敗をしているIPアドレスが.


2020.10.20


 素性を調べると,イランでした.スコアも良くない.IPアドレスをブロック.


 早速ブロック.


2020.10.23<

 ブロックしたのだけれど,それに気づいたようで別のIPアドレスからアクセスが来ることに.

 観察していると2日ほどで元の攻撃件数に戻ったので,セグメント毎ブロック.
 

2020.10.26

 これでしばらく落ち着くかなぁ.(やり出したら永遠の戦い)
 クラウド系として整理できるホスティングサービスから,当サイトへのアクセスをブロックすることにしてみました.サーバからのアクセスなので基本的に人間じゃないので,攻撃と思えるようなアクセスが多いのです.

 アクセスブロック効果はでていて,サーバの負荷が下がった...わけでもなく偶にスパイクされる事がある.嫌がらせアクセスなのかなぁ.

 あまぞんやさくらのIPアドレス範囲は公開されてないので,しばらくはアドレスを収集して,ブロックしていく感じになります.取り急ぎ,自動収集とブロックのシステムを開発して投入してみました.

 海外からのアクセスもブロックする仕組みを作りたいな.

直近のトレンド

カテゴリ : 
セキュリティ » 攻撃/ブルートフォース
ブロガー : 
ujpblog 2014/2/13 21:50
 SSHブルートフォースの傾向?を調べてみた.

rootユーザで接続を試みる奴

 こんな感じで集計してみた.
$ grep root secure.log*|grep "error: PAM: "|awk '{print $13}'|sort|uniq -c
 するとこんな結果が.
36490 122.228.207.219
783 124.173.121.191
67 80.193.233.35

3万5千回! ちなみに3つとも中国のIPアドレス.

どんなユーザで接続を試みているのか

...続きを読む


広告スペース
Google