SVX日記

　 ここ一ヶ月、朝7時に家を出て出勤しているものだから、概ね0時過ぎには床に着くようにしている。仕事は楽しいが、今日も疲れたなぁ、さっ、寝るか……カリッ、カリッ、カリッ、カリカリッ……ん？　なんだ？　かすかだが規則的なノイズが耳を突く。時計の音ではない。気にせず寝ようと思えば、寝られないこともないが……なんだろう？

　 ……あ!?　ハードディスクか？　ウチは部屋のド真ん中にサーバを置いているので、PCサーバのファンの音や、ハードディスクのアクセス音は、寝室まで聞こえるのだ。しかし、こんな規則的なアクセス音はなにかおかしい。SVX日記へのウェブアクセスなら、もう少し不規則なハズである。PCサーバでテレビを録画をしている場合には、こんなアクセス音がするコトもあるが、この時間に録画する設定をした記憶はない。

　 電気を消して寝る体勢になっているが、ちょっと気がかりになので、マクラモトのノートPCを立ち上げる。sshで主力サーバにつなぎながら、なんとなく、ある予想をもとに、最初に打つコマンドが決まる……「netstat -a」だッ!!

tcp        0      0 genmei.itline.jp:ssh    192.168.2.8:3131        ESTABLISHED 
tcp        0      0 YahooBBnnnnnnnnnnnn:ssh 218.234.23.23:40184     ESTABLISHED 
tcp        0      0 YahooBBnnnnnnnnnnnn:ssh 218.234.23.23:40186     TIME_WAIT 
tcp        0      0 YahooBBnnnnnnnnnnnn:ssh 218.234.23.23:40187     TIME_WAIT 
tcp        0      0 YahooBBnnnnnnnnnnnn:ssh 218.234.23.23:40189     TIME_WAIT 
tcp        0      0 YahooBBnnnnnnnnnnnn:ssh 218.234.23.23:40190     TIME_WAIT 
tcp        0      0 YahooBBnnnnnnnnnnnn:ssh 218.234.23.23:40192     TIME_WAIT 
tcp        0      0 YahooBBnnnnnnnnnnnn:ssh 218.234.23.23:40193     TIME_WAIT 
tcp        0      0 YahooBBnnnnnnnnnnnn:ssh 218.234.23.23:40194     TIME_WAIT 
tcp        0      0 YahooBBnnnnnnnnnnnn:ssh 218.234.23.23:40196     TIME_WAIT 
tcp        0      0 YahooBBnnnnnnnnnnnn:ssh 218.234.23.23:40198     TIME_WAIT 

　 ずらずらとつながる、sshの接続の痕……

　 「おぉ〜っ♪　これって、もしかして、攻撃ぃ？」

　 どーも、そのようである。次々と接続しては切断を果てしなく繰り返している。手口はなんだろうな？　すまん、ちょっとワウワクしてしまっているオイラがいる。そして、ブログのネタができたと、ちょっとウキウキしてしまっているオイラがいる。こんな時に参照すべきログは「/var/log/auth.log」だ。おぉー、出とる、出とる!!

Sep 29 23:08:44 genmei sshd[16513]: Could not reverse map address 218.234.23.23.

　 どうやら、今晩の攻撃はこの時刻から始まっているようだ。

Sep 29 23:43:56 genmei PAM_unix[21413]: authentication failure; (uid=0) -> backup for ssh service
Sep 29 23:43:58 genmei sshd[21413]: Failed password for backup from 218.234.23.23 port 41849 ssh2

　 ウチにbackupなんてアカウント用意してあったかな？　ともかく「backupというアカウントに、パスワード経由でssh2でアクセスしてきて、ログインに失敗」したログが残っている。backupに続いて、bin, canna, ceo, daemon, gdm, guest, root, webmaster, info……様々なアカウントに対し、パスワードアタックを繰り返している。アクセス間隔が一定していることから、なんらかの既存スクリプトによる、いわゆる「ブルートフォースアタック(辞書総当りチカラずく攻撃)」というヤツであろう。けっ、sshに対してパスワードアタックするなんて、しょーもねぇ……程度の低いスクリプトキディの仕業だな。

　 過去のログを確認すると、25日の昼、夜、26日の朝方、昼過ぎ、27日の早朝、夕方、28日の深夜……しばらく前から攻撃されているログが残っている。まったく、ヒマだねぇ。もしかして、先日の日記で、sshの公開鍵を公開するという挑発(？)に乗っちゃったか？　それとも「公開鍵は安全のためディスクで運んで……」なんてウェブに書いちゃってた人の逆鱗に触れたか？　どっちにしても、なんとわかりやすい……。

　 こんなブルートフォースアタックで落ちてしまうほどヤワなパスワードは設定していないので、こんな程度の低い攻撃なんか放置しておいても構わないのだが「ハードディスクのカリカリ音がうるさくて寝付きにくい」という「やや物理的な攻撃(^^;)」を受けているので、対策するコトにする。ウチのサーバは、ファイアウォールにiptablesを使っているので「/etc/network/iptables.up」に、とりあえず……

/sbin/iptables -A INPUT -p tcp -s 218.234.23.23/255.255.255.255 -j DROP

　 ……という一行を足して、iptablesを上げなおす。その瞬間にピタッとハードディスクのカリカリ音が消えた。ふぅ〜、気持ちいい。

　 しかしアレだね。こんな野良サーバにアタックしてるヒマがあったら、気になる女の子にでもアタックしてなさいッ!!　ただし、その時にはブルートフォースアタック(チカラずく)はダメだぞ。明るく、軽妙に、楽しく、時には軽く驚かせつつ、ゆっくりと、それでいて、まめに、押して、押して、押して、押しまくるのだッ!!　「一押二金三男」という格言もある。金が無くても、男っぷりがよくなくても大丈夫だぞ!!　オレもないけど心配するなッ!!

　 一度、嫌われたと思っても、ヘコんじゃいけない。自分が思うほどに、相手は意識してないコトが多いから。拒絶されたら、明るく引こう。少し時間を置いたら、作戦を練り直して、再アタックだ。相手にうっとおしいと思われないように、適度に時間を空けるのもコツだぞ。ただし、何度も同じ作戦を繰り返してもダメだ。様々な方面から「ツボ」を探そう。何度ハデに作戦を空振りしたって大丈夫。そのうち1回でもクリーンヒットすれば、一気に落ちてしまうモノだからだ……え？　ナンの話だって？　そりゃ、サーバ攻略の話だよ。他になにかあったっけ？　ん？

　 翌朝、再びログを確認してみた。あららら……また、別のIPから同じ作戦でアタックしてるよ。チカラずくで、工夫もせずに、同じ作戦を、短い間に、何度も繰り返す……ホントに最悪だね。シツコイのは嫌われるよ。まったく、サーバ心のワカってない、悲しいオトコだねぇ……とほほほほ。