インターネットに公開しているサーバーがどんな攻撃を受けているか調べてみた




インターネットにサーバーを公開してしていると、招かれざるお客様がいっぱいお立ち寄りになりますw
どんなところが狙われているのか興味が沸いたので、公開サーバがどれくらい攻撃されているか調べてみました(; ・`д・´)
このサーバーではないですがw

調査対象

対象:とあるWeb公開サーバー1台(Linux/CentOS7)
期間:約4.5時間(19:30~24:00 JST)

調査方法

「firewall-cmd –set-log-denied all」で、拒否したログを採取して集計。
※デフォルトでは、「/var/log/messages」に出力されます。
あくまで、不審なログの調査ですので、攻撃とは限りません。

調査結果

サマリ

攻撃(スキャン)と思われる不審なログ:287件(≒1.06件/分)
もう少し来ていると思ってたのですが。。これでも多いですけど。

どんなポートが狙われている?

狙われたポートTOP7はこちら。

No ポート 概要 回数 割合
1 445 SMB 82 28.6%
2 23 Telnet 44 15.3%
3 1433 SQL Server 16 5.6%
4 2000 Skinny 10 3.5%
5 5060 SIP 8 2.8%
6 3389 RDP 6 2.1%
7 22 SSH 5 1.7%

ここまでで、全体の約6割です。
1位は、windowsサーバーを狙った、SMBでした。公開しているwindowsサーバーは多いのでしょう。
2位につけたのが、Telnetです。いまだTelnetの需要は大きいということでしょうか。
3位は、SQL Serverです。やはりwindowsサーバーを狙ったもの。
SSHは、思ったより少ない模様。

どんな国から?

これは、あまり当てになりません。
通信元のIPから、粗々で割り当てて出しています。
また、踏み台になっているだけの可能性も十分にあります。
とりあえず、同じようにTOP7まで。

No 国名 回数 割合
1 中国 41 14.3%
2 アメリカ 36 12.5%
3 フランス 23 8.0%
4 ブラジル 17 5.9%
5 ロシア 15 5.2%
6 台湾 15 5.2%
7 インドネシア 9 3.1%

ここまでで、全体の半分。
いろいろなところからやってきています。
もちろん、日本国内からもやってきてました。

tailでログを眺めているだけでも、ふよふよ増えていくので、なんだかなーって感じです。
拒否をしているとわかっていても、なんとなく怖いw
でも、敵を知ることは大事なことです。