前回の日本のIPアドレスからの攻撃元一覧表における23と24について、攻撃者の動向を調査してみる。
| No. |
IPアドレス |
クライアント情報 |
回線 |
| 23 |
60.128.11.XXX |
SSH-2.0-PuTTY_Release_0.63 |
GIGAINFRA Softbank BB Corp. |
| 24 |
183.77.227.XX |
SSH-2.0-PuTTY_Release_0.67 |
ASAHI-NET Asahi Net |
これら2つのクライアント情報を確認するとPuTTYを使用していることがわかる。少なくともこれら2つの攻撃者はWindowsマシンを使用していると推測できる。
まず23の攻撃者について、この攻撃者はユーザ名:test、パスワード:testを使用して侵入し、ポートフォワードでIPアドレスを確認するサイトに接続している。その後、セッションは切断となっているため、環境が使用できるかどうかのチェックが目的だったのかもしくは間違えて接続しただけなのか、これだけでは不明である。
しかし、このIPアドレス等から調べてみると、この攻撃者はネットワークやソーシャルゲーム、チート等に興味があるようである。そのことから、踏み台を探しているのではないかという推測もできる。
次に24の攻撃者について、この攻撃者はユーザ名:root、パスワード:passwordを使用して侵入している。その後、wgetコマンドを使用して次のURLからIRCのリレーサーバであるpsyBNCをダウンロードし展開している。
http[:]//psybnc[.]at/download/beta/psyBNC-2.3.2-9.tar.gz
しかし、展開した後ダウンロードしたファイルおよび展開したディレクトリを削除している。問題なくダウンロードできたかを確認しているのではないかと推測する。その後、コマンド履歴を削除しホスト名をmuie.comに変更しようとするが、コマンドの入力ミス(hostnameをhistnameとtypoしている?)で変更できず、接続を切っている。
引き続き攻撃を観測し、動きがあればまとめてみようと思う。