cracked! - Fat Old Sun

朝起きて、Macを見たら異常にLoad averageがあがってたので、ちょっと見てみたら大変なことに。

% netstat
Active Internet connections
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp4       0      0  192.168.0.8.ssh        210.123.39.25.52320    ESTABLISHED
tcp4       0      0  192.168.0.8.ssh        210.123.39.25.52309    ESTABLISHED
tcp4       0      0  192.168.0.8.ssh        210.123.39.25.52280    ESTABLISHED
tcp4       0      0  192.168.0.8.ssh        210.123.39.25.52227    ESTABLISHED
tcp4       0      0  192.168.0.8.ssh        210.123.39.25.52188    ESTABLISHED
tcp4       0     21  192.168.0.8.ssh        210.123.39.25.51990    ESTABLISHED
tcp4       0      0  192.168.0.8.ssh        210.123.39.25.51915    ESTABLISHED
tcp4       0      0  192.168.0.8.ssh        210.123.39.25.51889    ESTABLISHED
tcp4       0      0  192.168.0.8.ssh        210.123.39.25.51709    ESTABLISHED
tcp4       0      0  192.168.0.8.ssh        210.123.39.25.51676    ESTABLISHED
tcp4       0      0  192.168.0.8.ssh        210.123.39.25.51624    ESTABLISHED
tcp4       0      0  192.168.0.8.ssh        210.123.39.25.51580    ESTABLISHED
tcp4       0      0  192.168.0.8.ssh        210.123.39.25.51570    ESTABLISHED
tcp4       0     52  192.168.0.8.ssh        210.123.39.25.51498    ESTABLISHED
tcp4       0      0  192.168.0.8.ssh        210.123.39.25.51101    ESTABLISHED
tcp4       0      0  192.168.0.8.ssh        210.123.39.25.51099    ESTABLISHED
tcp4       0    464  192.168.0.8.ssh        210.123.39.25.50884    ESTABLISHED
tcp4       0    704  192.168.0.8.ssh        210.123.39.25.50622    ESTABLISHED

いやーやられたッ。あわててルータにログインして接続を切って、おそるおそるtailしてみた。

root# tail -100 /var/log/secure.log
Sep  7 07:33:39 lapis com.apple.SecurityServer: authinternal failed to authenticate user noapte.
Sep  7 07:33:39 lapis com.apple.SecurityServer: Failed to authorize right system.login.tty by process /usr/sbin/sshd for authorization created by /usr/sbin/sshd.
Sep  7 07:33:39 lapis com.apple.SecurityServer: authinternal failed to authenticate user kay.
Sep  7 07:33:39 lapis com.apple.SecurityServer: Failed to authorize right system.login.tty by process /usr/sbin/sshd for authorization created by /usr/sbin/sshd.
Sep  7 07:33:39 lapis com.apple.SecurityServer: authinternal failed to authenticate user hitler.
Sep  7 07:33:39 lapis com.apple.SecurityServer: Failed to authorize right system.login.tty by process /usr/sbin/sshd for authorization created by /usr/sbin/sshd.
Sep  7 07:33:39 lapis com.apple.SecurityServer: authinternal failed to authenticate user nate.
Sep  7 07:33:39 lapis com.apple.SecurityServer: Failed to authorize right system.login.tty by process /usr/sbin/sshd for authorization created by /usr/sbin/sshd.
(snip)
Sep  7 07:34:25 lapis com.apple.SecurityServer: authinternal failed to authenticate user root.
Sep  7 07:34:25 lapis com.apple.SecurityServer: Failed to authorize right system.login.tty by process /usr/sbin/sshd for authorization created by /usr/sbin/sshd.
Sep  7 07:34:37 lapis com.apple.SecurityServer: authinternal authenticated user root (uid 0).
root# grep -i 'Succeeded.*ssh' /var/log/secure.log 
root#

まさにリアルタイムアタックされてたという。IP見ればわかるように韓国(kornet)からの攻撃だったという。まぁ22番をあけて待っていたこちらが悪いのでアレですが、大の大人が肝が冷えますた。韓国から(sshに)アクセスすることはあり得ないのでとりあえずはフィルタすることに。足跡消してあるだけなのか、未遂ですんだのか確証はないけれど、早起きしてたすかった。。。のか?

root# grep -i 'Failed.*ssh' /var/log/secure.log| wc
    4162   74895  674042
root#

なお、9月2日から毎日律儀に早朝アタックしてきていました。なぜ早朝?もしかして時差の関係で向こうでは深夜とか。
肝試しをしたい人以外は22番を開けないようにした方が身のためですという当たり前のお話でした。