5日10時頃から7日12時 数時間置きに計8アドレスが連携して一つのアドレスに対する攻撃を行いパスワードを破ろうとする.今回は同時分散攻撃は行わない. 8つのうち2つのアドレスは2007/11/15-19にかけて分散攻撃を行ったもの.標的となったアドレスは分散攻撃時…

http://isc.sans.org/port.html?port=22のSources/Dayが増加している. 国名 10/23の攻撃IP数 11/15の攻撃IP数 共通IP数 総IP数 共通IP数の比率 総計 306 310 129 487 26% GERMANY 40 40 11 69 15% UNITED-STATES 26 34 11 49 22% BRAZIL 18 25 7 36 19% POLA…

15日08時頃から 一つの対象に対して2から3分置きに7時間で138の攻撃者から172回の攻撃が続いている. 攻撃対象になったものは前回と同じ. 7時間の攻撃中snortのflexrespによるTCPリセットを乗り越えログインに進んだものはない.集中して発生しない攻撃の方がf…

12日17時頃 85.25.92.166 (s01.proudserver.de, Germany, intergenia AG, PlusServer - Dedicated Premium Serverhosting, Linux2.6,seldom2.4, 18hop) ポートスキャンの5分後,反応のあった32のアドレスに対してパスワードを破ろうとする. 4秒間34回の接続に…

2007/4から2007/10の期間,観測された4609のIPを/24のネットワークで集約し,バージョン番号等についてもある程度集約した上で集計したもの. バナー ネットワーク数 OpenSSH 455 TTSSH/1 442 PuTTY 422 libssh-0.2 343 WinSCP 249 TTSSH/2 124 libssh-0.1 61 S…

22日08時頃から23日16時 295の機械からの1592回の分散総当り攻撃,1時間当り30IPが同数程度攻撃する. バナーは全てSSH-2.0-libssh-0.2 クライアントバナーSSH-2.0-libssh-0.1を検出するsnortルール http://www.cert.br/docs/whitepapers/defesa-forca-bruta-s…

29日08時頃 204.126.179.71(ezproxy.piedmont.edu,*.ezproxy.piedmont.edu, USA, Georgia, Demorest, Piedmont College, Linux2.4-2.6, 22hop) *.ezproxy.piedmont.eduというDNSワイルドカードが設定されているが,逆引きも*.ezproxy.piedmont.eduと解決され…

19日00時頃 140.123.107.81(台湾, MOEC, National Chung Cheng University, Linux2.6, 13hop) ポートスキャンの3分後,反応のあった10のアドレスに対してadmin,root,stud,trash,aaron,gt5,william,stephanie等のパスワードを破ろうとする. 15分ほど攻撃を持続…

15日15時頃 211.136.202.122(中国,China Mobile Communications Corporation guangdon) ポートスキャンの3分後,反応のあった31のアドレスに対してパスワードを破ろうとする. 5分ほど攻撃を持続.5分ほど置いて一つにだけ再攻撃する バナーはSSH-2.0-libssh-0.1…

12日00時頃 59.37.63.162(中国, Guangdong, Guangzhou, ChinaNet Guangdong Province Network, Linux2.4-2.6, 20hop) ポートスキャンの3分後,反応のあった19のアドレスに対してroot等のパスワードを破ろうとする. 5分ほど攻撃を持続.5分中断して1対象にのみ…

9日03時頃 61.33.191.150(韓国, Seoul-t'ukpyolsi, Seoul, DACOM Corp.) ポートスキャンの3分後,反応のあった36のアドレスに対してroot等のパスワードを破ろうとする. 40分ほど攻撃を持続. バナーはSSH-2.0-libssh-0.1 map:x126.9997y37.5664:hybrid 9日06時…

7日01時頃 216.154.222.52(United States, Georgia, Norcross, Strategic Systems Consulting, Linux2.6,seldom2.4, 23hop) ポートスキャンの5分後,反応のあった22のアドレスに対してrootなどのパスワードを破ろうとする. 20分ほど攻撃を持続. バナーはSSH-2…

29日08時頃 218.75.198.35(China, Fujian, Hunan, Data Communication Division, CHINANET-HN Zhuzhou node network, Linux2.6,seldom2.4, 20hop) ポートスキャンの5分後,反応のあった34のアドレスに対してパスワードを破ろうとする. SSHサーバーのリストが…

12日8時頃 194.110.162.15(United States, Pennsylvania, Host, Extended Host, Linux2.6, 11hop) ポートスキャンの3分後,反応のあった22のアドレスに対してroot等のパスワードを破ろうとする. 30分ほど攻撃を持続.最後の10分は1つに対象を絞る. バナーはSSH…

20日23時頃 217.24.240.77(Albania, Tirane, Tirana, Albtelecom Sh.a., TELECOM ALBANIA, Linux2.6,seldom2.4, 16hop) ポートスキャンの4分後,反応のあった29のアドレスに対して「1」等のパスワードを破ろうとする. 20分ほど攻撃を持続.終了後10分後に一つ…

19日22時頃 58.211.76.23(中国, 北京, CHINANET jiangsu province network, Linux2.6, 18hop) ポートスキャンの5分後,反応のあった24のアドレスに対してパスワードを破ろうとする. 中国からの攻撃者はSSHサーバーのリストを用いずポートスキャンを事前に行う…

16日02時頃 190.5.195.125(Colombia, Cordoba, Canalete, EMTEL S.A. E.S.P., Linux2.4-2.6, 23hop) ポートスキャンを行わず7のアドレスに対してパスワードを破ろうとする. 7分ほど攻撃を持続.再攻撃しない バナーはSSH-2.0-libssh-0.2 map:x-76.2042y8.6761…

17日12時頃 211.152.17.48(中国, 北京, Haidian District, Beijing, Netease information service Inc., Linux2.6,seldom2.4, 22hop) ポートスキャンの4分後,反応のあった36のアドレスに対してadmin等のパスワードを破ろうとする. 頻度を落しながら20分ほど…

14日09時頃 222.151.202.157(東京,NTT Communications Corporation, Knowledge Soft Corporation, Linux2.4-2.6, 14hop) ポートスキャンを行わず6のアドレスに対してパスワードを破ろうとする. 2分ほど攻撃を持続.頻度はほぼ変らず再攻撃はしない. バナーはS…

10日01時頃 195.98.27.160(static-098-027-160.dsl.nextra.sk,Slovakia, Trencin, Starai Turai, GTS INEC s.r.o., NEXTRA, Linux2.4-2.6, 25hop) ポートスキャンを行わず19のアドレスに対してパスワードを破ろうとする. 頻度を減らしながら30分ほど攻撃を持…

13日10時頃 84.78.22.164(SpainPais Vasco, Amurrio, Ya.com Internet Factory, Linux2.4-2.6, 15hop) ポートスキャンを行わず8のアドレスに対してa'marie等のパスワードを破ろうとする. 20分ほど攻撃を持続.2時間後標的を一つに絞って再攻撃. バナーはSSH-2…

7日10時頃 84.19.184.207(ns.km14045-01.keymachine.de, Germany, Thuringen, Erfurt, Keyweb AG, Keyweb AG IP Network, Linux2.6, 15hop) ポートスキャンを行わず7アドレスに対してrootなどのパスワードを破ろうとする. 頻度を次第に緩めながら20分ほど攻…

5日8時頃 81.183.218.191(dsl51B7DABF.fixip.t-online.hu, Hungary, Budapest, Hungarian Telecom MATAV, T-Online Co, Hungarian Telekom Group) ポートスキャンを行わず,14のアドレスに対してパスワードを破ろうとする. 7分ほど攻撃を持続.再攻撃は行わな…

20日19時頃 80.33.133.52(52.red-80-33-133.staticip.rima-tde.net, Spain, Catalonia, Barcelona, Telefonica de Espana, Linux2.6,seldom2.4, 17hop) ポートスキャンを行わず,24のアドレスに対してパスワードを破ろうとする. 20分ほど攻撃を持続.一旦終了…

18日11時頃 200.74.132.230 (Colombia, Cundinamarca, Bogotai, Telmex Colombia S.A., ATT COLOMBIA LEASED LINES, Linux2.6,seldom2.4, 24hop) ポートスキャンを行わず8のアドレスに対してraimundo,joan等のパスワードを破ろうとする. 7分ほど攻撃を持続.…

http://ihrisko.cyberio.org/banned

17日15時頃 149.99.19.21(Canada, Quebec, Montreal, Rogers Telecom, Linux2.4-2.6, 15hop) ポートスキャンをせず8アドレスに対してパスワードを破ろうとする. 遮断後20分ほど攻撃の後2時間ほどしてから数分再攻撃する. バナーはSSH-2.0-libssh-0.1 map:x-7…

8日14時頃 212.92.3.181(Hungary, Budapest, Antenna Tavkozlesi, LHcom kft., Linux2.6,seldom2.4, 16hop) ポートスキャンの5分後反応のあった36のアドレスに対してadmin等のパスワードを破ろうとする. 遮断後30分ほど攻撃.1時間半後標的を2つに絞って10分…

31日05時頃 140.127.45.55(Taiwan, Fengshan, MOEC, Kaohsiung Pingtung Penghu Regional Network, Linux2.6, 14hop) ポートスキャンの30分後反応のあった10のアドレスに対してパスワードを破ろうとする. ポートスキャンのアドレスは連続しているが所々抜け…

30日4時頃 217.68.150.216(Germany, Hessen, Bad Homburg, IXEurope Gmbh, Kaisen Teaching AG DE, Linux2.6,seldom2.4, 19hop) ポートスキャンの後反応のあった3つのアドレスに対してパスワードを破ろうとする.ポートスキャンは全てのアドレスを網羅するの…