ぶるーとふぉーす
ポパイに出てくるのがブルートだっけ?
ssh brute force attack が流行っているようで、拙の管理している2,3のホストにもやってくる。
そう簡単にやられるようにはなっていないが、延々とアタックかけられるのも面白くないので、
- ログを tail -f 相当の仕組みで監視する
- SBFA のパターンに当たったら username, source IP を記録する
- 同じ source IP から N 回あったら ipfw (この時点で OS は FreeBSD とバレるな)でその IP からのアクセスを遮断する
ということをやってみた。
諸般の事情で、そういうことが簡単に設定できるような最新の OS ではないので、Python を使っている。
で、どういう username で来たか記録があるので、少し統計を取ってみた。
- staff, sales, recruit の順 ... 9件
- webmaster, root, ftp の順 ... 2件
- test, guest, admin の順 ... 2件
なんとなく、複数のスタッフ(あるいは入れ替わりが多い)で同じ username を使っていて、という感じのサイトがやられやすそう。というのが浮かび上がってくる。
username は別にして、aliases を使ってくださいね。
上記のパターンではないですが、日本の企業・大学サイトからもアタック来てますので、皆様(って誰のこと?)ご注意を。
Forgot your password?
