このブログを検索

2011年4月5日火曜日

不正アクセスリスト

昨日の不正アクセスリストです。
sshで執拗にアクセスしてきます。
恐らく乗っ取られたPCがすぐそばにあって、IP spoofingで偽装し、手当たり次第、アクセスしに来ているようです。
なお、SIPはこの頃不正アクセスがないですが、出てきましたら、リストアップします。


184.107.177.250  カナダ
184.154.62.246   アメリカ
203.114.116.165  タイ
218.15.136.38   中国
218.24.10.92    中国
218.240.128.203  中国
218.241.155.13   中国
218.85.135.112   中国
60.30.32.26     中国
87.247.65.7     リトアニア
203.113.137.188  ベトナム
211.142.225.30   中国
218.15.136.38   中国
91.148.134.59   ブルガリア
※アクセスしてきた順番なので、並びバラバラです。

弊社は毎日、特定の条件に基づいて、アクセスしてきたIPアドレスを吐き出すように設定しており、目視で最終確認をしております。(暇人と思うなかれ、これ重要ですぞ。1週間単位でもいいですけど。)
やはり、最後は人力による検査が必要です。

まとまってきたら、どこかにリストを作成し公開したいと思います。
いつアクセスしたかなどの情報を公開することで、事前にIPアドレスを拒否したり、防御策が打てると思いますから。
ちなみに上記はうちとの取引はまったくないので、すべて、ファイアーウォールでドロップしてます。
(ファイアーウォールも自家製です。結構簡単に作れます。ちなみにいつものopenSUSEです。)

とりあえずサーバーや機器は、最新のパッチ当てておけば問題ないですが、気になる人は調査してみてください。
wiresharkなどで、全パケットを拾って、安全なやつから記録を破棄し、残ったものだけ保存するなどしておけば、一日のデータ量も少なくなると思います。
一度お試しください。
また、先日書き込みしたnessusもお勧めです。

明日から気が向いたら、追記していきます。

ではでは、また。

5 件のコメント:

  1. 追加
    213.239.215.53 ドイツ
    88.191.138.141 フランス

    返信削除
  2. メールサーバーにアクセスするやつ
    46.166.129.116 イギリス

    返信削除
  3. 【SSH】
    114.142.148.172 香港
    119.161.145.215 中国
    200.223.199.50 ブラジル
    218.15.221.84 中国
    218.61.194.13 中国
    218.85.135.112 中国
    80.96.150.171 ルーマニア
    87.247.65.7 リトアニア
    www4045u.sakura.ne.jp 59.106.128.83 日本

    返信削除
  4. 【SIP】
    188.127.224.88 ロシア
    とてもしつこくアクセスしてきますので、すべてドロップ設定してください。

    返信削除
  5. 【SIP】
    9/17-19継続中
    218.94.106.110 中国
    ホントにしつこい。なに考えているんだ中国?

    返信削除