Previous Topへ Next

ハッカーって結構日常的に居るのかもしれない

Does MacKeeper keep Mac?

ハッカーって結構日常的に居るのかもしれない

かなり前からここで自宅FTPサーバーを上げているという話を書いている。
興味ある方は、こちらの一連のまとめを参照いただきたい。

ホコリをかぶっていたiBook DualUSBをWebサーバに転用してみた

今度は自宅サーバでftpサーバを実現するぞ〜老兵iBook DualUSBにはもうひと働きしてもらおうか

ftpサーバに生まれ変わったiBookをさらに微調整〜クライアント使用するためにPASVモード対応

MacとWindowsで使いやすいFTPクライアントソフトは?〜iBook、FTPサーバ活用完結編〜

MacのFTPクライアント追加〜それと昨日のサーバ不具合について

FTPアップロードしたフォルダにWindowsでアクセスできない〜ftpサーバ運用の追記

例の自宅Webサーバ兼ftpサーバが毎週落ちている

iBook自宅サーバ相変わらず週一ダウン〜徹底的に軽量化してみることにした

懸案になっていたFTPサーバが復活した〜FTPについて、サーバ熱問題についていろいろ考えた

老兵iBookサーバついにダウンか・・・いやいやまだまだ復活〜これが噂に聞く熱暴走か?

復活したと思った老兵iBookサーバはやはりお亡くなりに〜夏の暑さを侮ってはいか〜ん!

家サーバーはMac mini G4が引き継ぐことになった〜今度こそ本当に引退の危機かiBook DualUSB

サーバルームやっぱり熱対策をすることにした

自鯖サイトのファイル一覧が表示される仕様をなんとかしたい〜Apacheの設定いじってみた

FTPの転送エラー、タイムアウトなどちょっと困った癖について

それで夏も乗り切り、途中でiBookG3からMac miniへの機種変更もあったりしたが、ここのとろ自宅サーバはすこぶる調子がいい。
Mac mini一台でwebサイトとFTPサーバ兼用でけなげに動いていて、OSもサービスも落ちない。

落ちなくなってログを見る余裕も出てきたわけだが、そうすると面白いことに気がついた。

FTPサーバにログインしようと試みる見慣れないIPアドレスを見かけるようになった。

IPアドレスを区別するためにiPhoneの接続サービスや会社機のIPも全部確認して、そういうのを除外すると、数日に一回くらいのペースでFTPサーバにログインしようとやってくるIPアドレスがある。

毎回違うIPアドレスだし、whoisすると地域もバラバラなのだが同じようにふらっときて数回ログインしようとして、諦めてどっかに行く。

このFTPのURLはどこにもも公表していないし、このサイトからもリンクしたりしていない。
全く個人的な用途に使っている実験サーバなのだが、そういうサーバのありかも嗅ぎ付けてノックしてみる人がいる。
それも毎週。





FTPサーバアプリのpure-FTPとシステムのコンソールでFTPログは完備
誰が接続してログインしたか失敗したかどのファイルを
ダウンロードしたかアップロードしたか全部記録が残る




明らかに自分のIPアドレスとは違うIPがログインしようとして
認証に失敗しているというログを見つけた
別に不正ログインされても困るようなものは置いていないが
サーバを見るとノックしたくなる人がいるらしい
数日に一人の割合でいろいろなIPがやってくる


以前ここの用語辞典のページでハッカーについて取り上げた時に企業のセキュリティ監視を引き受ける監視センターについて書いた。

この担当者に興味をぶつけてみたのだが、私が知りたかったのは
「どうやってハッカーを釣るか?」
というその仕組みの問題だった。
なんせその施設を見ることができる時間は非常に限られていたので、ハッカーが発見される決定的瞬間を見たかったからだ。

ところが担当者は、
「心配しなくてもハッカーは2〜3分に一度はやってくる」
と言い放った。
これは十年くらい前の話だが、実際そうだった。

このハッカーを釣る仕組みだが
「ハニーポット」
と呼ばれる手法だと説明された。

ハッカーの攻撃を受ける企業から依頼を受けたら、まずその企業のWebサービスなどの入り口に別のゲートウエイを設置する。
そこで特定の振る舞いをするビジターを別のサーバに飛ばす。
特定の振る舞いとは普通の人がやらないようなポートスキャンとかpingの連発とか、いろいろ見分けるノウハウがあるらしいが、そういう振る舞いをする人をニセの企業サーバに誘導する。

そしてそのサーバはわざとセキュリティを甘めにしておくのだそうだ。
あまり無防備だと逆に警戒されるのでわざと破りやすいセキュリティをかけておいて、ハッカーが長居するようにサーバを設定する。
そこで蜜壷を見つけた連中が群がっているうちに、相手のプロキシの向こう側の位置や使用機材、ソフトウエア、住んでいる地域などを逆探知して特定していく。

そういうことができるのかと当時はひたすら感心して聞いていたが、この自宅サーバのログを見ていたら確かにできるような気がしてきた。
こういうどこにも公表していない自宅のサーバにもこの頻度で「お客さん」がくるんだから、人が集まるところでURLを紹介したらどんどん「お客さん」が来るに違いない。

そういう人を特定する方法も勉強してみたい気がしてきた。
いずれにしろ、こういうのは犯罪だからね。
相手には結構見えているんだよ。
なんてね。




2011年9月29日















Previous Topへ Next





site statistics
青木さやか