不正アクセスリスト

昨日の不正アクセスリストです。
sshで執拗にアクセスしてきます。
恐らく乗っ取られたPCがすぐそばにあって、IP spoofingで偽装し、手当たり次第、アクセスしに来ているようです。
なお、SIPはこの頃不正アクセスがないですが、出てきましたら、リストアップします。


184.107.177.250　　カナダ
184.154.62.246　　　アメリカ
203.114.116.165　　タイ
218.15.136.38　　　中国
218.24.10.92　　　　中国
218.240.128.203　　中国
218.241.155.13　　　中国
218.85.135.112　　　中国
60.30.32.26　　　　　中国
87.247.65.7　　　　　リトアニア
203.113.137.188　　ベトナム
211.142.225.30　　　中国
218.15.136.38　　　中国
91.148.134.59　　　ブルガリア
※アクセスしてきた順番なので、並びバラバラです。

弊社は毎日、特定の条件に基づいて、アクセスしてきたIPアドレスを吐き出すように設定しており、目視で最終確認をしております。（暇人と思うなかれ、これ重要ですぞ。1週間単位でもいいですけど。）
やはり、最後は人力による検査が必要です。

まとまってきたら、どこかにリストを作成し公開したいと思います。
いつアクセスしたかなどの情報を公開することで、事前にIPアドレスを拒否したり、防御策が打てると思いますから。
ちなみに上記はうちとの取引はまったくないので、すべて、ファイアーウォールでドロップしてます。
（ファイアーウォールも自家製です。結構簡単に作れます。ちなみにいつものopenSUSEです。）

とりあえずサーバーや機器は、最新のパッチ当てておけば問題ないですが、気になる人は調査してみてください。
wiresharkなどで、全パケットを拾って、安全なやつから記録を破棄し、残ったものだけ保存するなどしておけば、一日のデータ量も少なくなると思います。
一度お試しください。
また、先日書き込みしたnessusもお勧めです。

明日から気が向いたら、追記していきます。

ではでは、また。