∇ナぁーブらー∂かっフぇー∇

分散SSH総当たり

scan ssh

5日10時頃から7日12時
数時間置きに計8アドレスが連携して一つのアドレスに対する攻撃を行いパスワードを破ろうとする.今回は同時分散攻撃は行わない.
- 8つのうち2つのアドレスは2007/11/15-19にかけて分散攻撃を行ったもの.標的となったアドレスは分散攻撃時と同じ.
- 96.2.117.148(host-148-117-2-96.midco.net, UNITED-STATES, South Dakota, Sioux Falls, Midcontinent Communications, 19hop)

<a href="http://map.hatena.ne.jp/?x=-96.5970&y=43.4711&z=4">map:x-96.5970y43.4711:hybrid</a>

- 87.139.57.115(p578b3973.dip0.t-ipconnect.de, GERMANY, Niedersachsen, Weener, Deutsche Telekom AG)

<a href="http://map.hatena.ne.jp/?x=7.3500&y=53.1661&z=4">map:x7.3500y53.1661:hybrid</a>

- 参照
米国3,ドイツ,ロシア,カナダ,インド,コロンビア各1.
攻撃間隔,総当り頻度はかなりばらつきがある.1日3回程度.1回につき20から3200回程度の総当りを試みる.
クライアントバナーは全て,SSH-2.0-libssh-0.2,OSは全てLinux2.4-2.6
分散攻撃者のうち194.116.131.6と80.188.22.2の2はCGIの脆弱性を利用して攻撃プログラムbarbutをダウンロードさせようとし,141.85.0.70,200.81.233.18,217.10.197.26の3つはSPAM発射台になっている.
- http://d.hatena.ne.jp/naablaa/20071121