AWS EC2へのSSHに対する攻撃を分析してみた (2015年4月〜6月) | ある研究者の手記

数ヶ月間、私のお小遣いを貪り続けてきたAWS EC2上のハニーポットですが、さすがに財布へのダメージが蓄積してきたのでいったん停止させました。停止させたもののそれなりにデータを蓄積していたので、さてどうしようかなと思っていたのですが、 先日、長崎で開催された情報処理学会のコンピュータセキュリティシンポジウム2015で聞いた講演の一つに SSHの新しい攻撃方法について触れられていてちょっと気になったので、収集したデータのうちSSHに関しての通信のみちょっと分析してみました。 ハニーポットの構成やデータの収集方法については過去のエントリを参照していただきたいのですが、 今回はAWS Asia Pacific (Tokyo)上でEC2のインスタンス4つを4月頭から6月末まで動かしてデータを取得しました。財布へのダメージも4倍！ しかしおかげで複数のIPアドレスで観測した時に生じる差分について知る

[tiida26]

身銭を切ったCOOLな検証ですな。

[ionis]

"一つのIPアドレスからパスワード試行が1回だけ実施されて、次は別のIPアドレスから試行されて、というのを繰り返すBrute force攻撃が確認された"

[ozuma]

可視化重要

[vanbraam]

ありがたい;ポート含めSSHの設定を変更してくれと説得する際に使わせていただきます

[minamijoyo]

興味深いデータ

[islejp]

ホワイトリスト式で、正規の管理者が使うネットワークからのみSSHを受け付けるようにしないと。

[napsucks]

大事なサーバはJP以外からは蹴ってる

[longroof]

"「ポート番号を変えているからパスワード認証でも大丈夫だよね」とか 「ポートスキャンを止めているからどこがSSHのポート番号かわからないよね」と考えている管理者の方はぜひ設定の見直しを"

[tmatsuu]

ポート22以外にもSSHをターゲットとした攻撃は来ている。皆様ご認識ください。