cracked!
朝起きて、Macを見たら異常にLoad averageがあがってたので、ちょっと見てみたら大変なことに。
% netstat Active Internet connections Proto Recv-Q Send-Q Local Address Foreign Address (state) tcp4 0 0 192.168.0.8.ssh 210.123.39.25.52320 ESTABLISHED tcp4 0 0 192.168.0.8.ssh 210.123.39.25.52309 ESTABLISHED tcp4 0 0 192.168.0.8.ssh 210.123.39.25.52280 ESTABLISHED tcp4 0 0 192.168.0.8.ssh 210.123.39.25.52227 ESTABLISHED tcp4 0 0 192.168.0.8.ssh 210.123.39.25.52188 ESTABLISHED tcp4 0 21 192.168.0.8.ssh 210.123.39.25.51990 ESTABLISHED tcp4 0 0 192.168.0.8.ssh 210.123.39.25.51915 ESTABLISHED tcp4 0 0 192.168.0.8.ssh 210.123.39.25.51889 ESTABLISHED tcp4 0 0 192.168.0.8.ssh 210.123.39.25.51709 ESTABLISHED tcp4 0 0 192.168.0.8.ssh 210.123.39.25.51676 ESTABLISHED tcp4 0 0 192.168.0.8.ssh 210.123.39.25.51624 ESTABLISHED tcp4 0 0 192.168.0.8.ssh 210.123.39.25.51580 ESTABLISHED tcp4 0 0 192.168.0.8.ssh 210.123.39.25.51570 ESTABLISHED tcp4 0 52 192.168.0.8.ssh 210.123.39.25.51498 ESTABLISHED tcp4 0 0 192.168.0.8.ssh 210.123.39.25.51101 ESTABLISHED tcp4 0 0 192.168.0.8.ssh 210.123.39.25.51099 ESTABLISHED tcp4 0 464 192.168.0.8.ssh 210.123.39.25.50884 ESTABLISHED tcp4 0 704 192.168.0.8.ssh 210.123.39.25.50622 ESTABLISHED
いやーやられたッ。あわててルータにログインして接続を切って、おそるおそるtailしてみた。
root# tail -100 /var/log/secure.log Sep 7 07:33:39 lapis com.apple.SecurityServer: authinternal failed to authenticate user noapte. Sep 7 07:33:39 lapis com.apple.SecurityServer: Failed to authorize right system.login.tty by process /usr/sbin/sshd for authorization created by /usr/sbin/sshd. Sep 7 07:33:39 lapis com.apple.SecurityServer: authinternal failed to authenticate user kay. Sep 7 07:33:39 lapis com.apple.SecurityServer: Failed to authorize right system.login.tty by process /usr/sbin/sshd for authorization created by /usr/sbin/sshd. Sep 7 07:33:39 lapis com.apple.SecurityServer: authinternal failed to authenticate user hitler. Sep 7 07:33:39 lapis com.apple.SecurityServer: Failed to authorize right system.login.tty by process /usr/sbin/sshd for authorization created by /usr/sbin/sshd. Sep 7 07:33:39 lapis com.apple.SecurityServer: authinternal failed to authenticate user nate. Sep 7 07:33:39 lapis com.apple.SecurityServer: Failed to authorize right system.login.tty by process /usr/sbin/sshd for authorization created by /usr/sbin/sshd. (snip) Sep 7 07:34:25 lapis com.apple.SecurityServer: authinternal failed to authenticate user root. Sep 7 07:34:25 lapis com.apple.SecurityServer: Failed to authorize right system.login.tty by process /usr/sbin/sshd for authorization created by /usr/sbin/sshd. Sep 7 07:34:37 lapis com.apple.SecurityServer: authinternal authenticated user root (uid 0). root# grep -i 'Succeeded.*ssh' /var/log/secure.log root#
まさにリアルタイムアタックされてたという。IP見ればわかるように韓国(kornet)からの攻撃だったという。まぁ22番をあけて待っていたこちらが悪いのでアレですが、大の大人が肝が冷えますた。韓国から(sshに)アクセスすることはあり得ないのでとりあえずはフィルタすることに。足跡消してあるだけなのか、未遂ですんだのか確証はないけれど、早起きしてたすかった。。。のか?
root# grep -i 'Failed.*ssh' /var/log/secure.log| wc 4162 74895 674042 root#
なお、9月2日から毎日律儀に早朝アタックしてきていました。なぜ早朝?もしかして時差の関係で向こうでは深夜とか。
肝試しをしたい人以外は22番を開けないようにした方が身のためですという当たり前のお話でした。