インターネットにサーバーを公開してしていると、招かれざるお客様がいっぱいお立ち寄りになりますw
どんなところが狙われているのか興味が沸いたので、公開サーバがどれくらい攻撃されているか調べてみました(; ・`д・´)
このサーバーではないですがw
調査対象
対象:とあるWeb公開サーバー1台(Linux/CentOS7)
期間:約4.5時間(19:30~24:00 JST)
調査方法
「firewall-cmd –set-log-denied all」で、拒否したログを採取して集計。
※デフォルトでは、「/var/log/messages」に出力されます。
あくまで、不審なログの調査ですので、攻撃とは限りません。
調査結果
サマリ
攻撃(スキャン)と思われる不審なログ:287件(≒1.06件/分)
もう少し来ていると思ってたのですが。。これでも多いですけど。
どんなポートが狙われている?
狙われたポートTOP7はこちら。
| No | ポート | 概要 | 回数 | 割合 |
|---|---|---|---|---|
| 1 | 445 | SMB | 82 | 28.6% |
| 2 | 23 | Telnet | 44 | 15.3% |
| 3 | 1433 | SQL Server | 16 | 5.6% |
| 4 | 2000 | Skinny | 10 | 3.5% |
| 5 | 5060 | SIP | 8 | 2.8% |
| 6 | 3389 | RDP | 6 | 2.1% |
| 7 | 22 | SSH | 5 | 1.7% |
ここまでで、全体の約6割です。
1位は、windowsサーバーを狙った、SMBでした。公開しているwindowsサーバーは多いのでしょう。
2位につけたのが、Telnetです。いまだTelnetの需要は大きいということでしょうか。
3位は、SQL Serverです。やはりwindowsサーバーを狙ったもの。
SSHは、思ったより少ない模様。
どんな国から?
これは、あまり当てになりません。
通信元のIPから、粗々で割り当てて出しています。
また、踏み台になっているだけの可能性も十分にあります。
とりあえず、同じようにTOP7まで。
| No | 国名 | 回数 | 割合 |
|---|---|---|---|
| 1 | 中国 | 41 | 14.3% |
| 2 | アメリカ | 36 | 12.5% |
| 3 | フランス | 23 | 8.0% |
| 4 | ブラジル | 17 | 5.9% |
| 5 | ロシア | 15 | 5.2% |
| 6 | 台湾 | 15 | 5.2% |
| 7 | インドネシア | 9 | 3.1% |
ここまでで、全体の半分。
いろいろなところからやってきています。
もちろん、日本国内からもやってきてました。
tailでログを眺めているだけでも、ふよふよ増えていくので、なんだかなーって感じです。
拒否をしているとわかっていても、なんとなく怖いw
でも、敵を知ることは大事なことです。
