NTTPC の WebARENA Indigo, VPSクラウドから大量のSSH侵入パケットが届く

先日、さくらインターネットから大量の迷惑メールが送られていることをメモに残しました。今回は、NTTPCの WebARENA から継続して、SSHポートに侵入を試みるパケットが届いていることの記録です。

2月に入ってから、arena.ne.jp ドメインから、自宅サーバーのSSHポートに対して大量の侵入を試みるパケットが届いていることに気づきました。ログから、その一部を抜き出したものが、以下。

Feb 3 19:30:19 sshd[49963]: reverse mapping checking getaddrinfo for 116-80-89-99.indigo.static.arena.ne.jp [116.80.89.99] failed. 
Feb 3 20:12:18 sshd[50396]: reverse mapping checking getaddrinfo for 116-80-89-99.indigo.static.arena.ne.jp [116.80.89.99] failed. 
Feb 3 23:52:40 sshd[51096]: reverse mapping checking getaddrinfo for 116-80-49-235.indigo.static.arena.ne.jp [116.80.49.235] failed. 
Feb 4 00:29:35 sshd[51529]: reverse mapping checking getaddrinfo for 116-80-49-235.indigo.static.arena.ne.jp [116.80.49.235] failed. 
Feb 4 02:25:34 sshd[51712]: reverse mapping checking getaddrinfo for 116-80-89-102.indigo.static.arena.ne.jp [116.80.89.102] failed. 
Feb 5 00:25:54 sshd[58545]: reverse mapping checking getaddrinfo for 116-80-89-107.indigo.static.arena.ne.jp [116.80.89.107] failed. 
Feb 5 02:06:43 sshd[58704]: reverse mapping checking getaddrinfo for 116-80-89-107.indigo.static.arena.ne.jp [116.80.89.107] failed. 
Feb 5 02:46:47 sshd[58768]: reverse mapping checking getaddrinfo for 116-80-89-107.indigo.static.arena.ne.jp [116.80.89.107] failed. 
Feb 5 04:26:18 sshd[61017]: reverse mapping checking getaddrinfo for 116-80-89-114.indigo.static.arena.ne.jp [116.80.89.114] failed. 
Feb 5 04:41:20 sshd[61039]: reverse mapping checking getaddrinfo for 116-80-50-13.indigo.static.arena.ne.jp [116.80.50.13] failed. 
Feb 6 02:01:51 sshd[73385]: reverse mapping checking getaddrinfo for 140-227-65-5.vpscloud.static.arena.ne.jp [140.227.65.5] failed. 
Feb 6 02:02:18 sshd[73386]: reverse mapping checking getaddrinfo for 116-80-89-102.indigo.static.arena.ne.jp [116.80.89.102] failed. 
Feb 6 02:04:20 sshd[73389]: reverse mapping checking getaddrinfo for 140-227-65-5.vpscloud.static.arena.ne.jp [140.227.65.5] failed. 
Feb 6 02:05:27 sshd[73393]: reverse mapping checking getaddrinfo for 116-80-49-235.indigo.static.arena.ne.jp [116.80.49.235] failed. 
Feb 6 02:06:39 sshd[73394]: reverse mapping checking getaddrinfo for 140-227-65-5.vpscloud.static.arena.ne.jp [140.227.65.5] failed. 
Feb 6 21:08:42 sshd[85062]: reverse mapping checking getaddrinfo for 116-80-70-124.indigo.static.arena.ne.jp [116.80.70.124] failed. 
Feb 6 21:17:49 sshd[85076]: reverse mapping checking getaddrinfo for 116-80-89-167.indigo.static.arena.ne.jp [116.80.89.167] failed. 
Feb 6 21:43:27 sshd[85110]: reverse mapping checking getaddrinfo for 116-80-70-102.indigo.static.arena.ne.jp [116.80.70.102] failed. 
Feb 6 21:48:38 sshd[85120]: reverse mapping checking getaddrinfo for 116-80-70-124.indigo.static.arena.ne.jp [116.80.70.124] failed. 
Feb 6 21:51:56 sshd[85123]: reverse mapping checking getaddrinfo for 116-80-89-102.indigo.static.arena.ne.jp [116.80.89.102] failed. 
Feb 7 00:19:26 sshd[86080]: reverse mapping checking getaddrinfo for 140-227-65-5.vpscloud.static.arena.ne.jp [140.227.65.5] failed. 
Feb 7 00:22:03 sshd[86098]: reverse mapping checking getaddrinfo for 140-227-65-5.vpscloud.static.arena.ne.jp [140.227.65.5] failed. 
Feb 9 13:27:53 sshd[8943]: reverse mapping checking getaddrinfo for 140-227-65-5.vpscloud.static.arena.ne.jp [140.227.65.5] failed. 
Feb 9 13:30:11 sshd[8948]: reverse mapping checking getaddrinfo for 140-227-65-5.vpscloud.static.arena.ne.jp [140.227.65.5] failed. 
Feb 9 13:31:49 sshd[8949]: reverse mapping checking getaddrinfo for 116-80-43-79.indigo.static.arena.ne.jp [116.80.43.79] failed. 
Feb 9 13:32:34 sshd[8950]: reverse mapping checking getaddrinfo for 140-227-65-5.vpscloud.static.arena.ne.jp [140.227.65.5] failed. 
Feb 9 13:32:56 sshd[8952]: reverse mapping checking getaddrinfo for 116-80-43-102.indigo.static.arena.ne.jp [116.80.43.102] failed.

ここから読み取れることは、

  • xxxxx.indigo.static.arena.ne.jp
  • xxxxx.vpscloud.static.arena.ne.jp

という二つのホスト名パターンを持つ異なるアドレスから、侵入を意図したパケットが届いているってこと。
reverse mapping checking が failしているわけなので、侵入者は自分のホスト名を偽ってログインしようとしていることがわかります。まあ、こんな侵入をいくら送ってきてもブロックしますから、侵入は出来ないんですけどね。面倒なのはログが汚れて膨らむってこと。

誰がどんな目的で?

まず、arena.ne.jp の indigo と vpscloud を調べてみたところ、NTTPCの WebARENA indigo と VPSクラウドというVPSサービスということがわかりました。

次に、サーバーに残っているログから、アクセスの傾向をgrep, awk, sort, uniq で確認してみると次のようになっていました。

# ホスト名:回数
116-80-43-102.indigo.static.arena.ne.jp : 2
116-80-43-59.indigo.static.arena.ne.jp : 2
116-80-43-66.indigo.static.arena.ne.jp : 2
116-80-43-72.indigo.static.arena.ne.jp : 2
116-80-43-75.indigo.static.arena.ne.jp : 2
116-80-43-79.indigo.static.arena.ne.jp : 2
116-80-49-235.indigo.static.arena.ne.jp : 6
116-80-49-239.indigo.static.arena.ne.jp : 6
116-80-50-13.indigo.static.arena.ne.jp : 4
116-80-50-15.indigo.static.arena.ne.jp : 4
116-80-50-18.indigo.static.arena.ne.jp : 4
116-80-50-243.indigo.static.arena.ne.jp : 2
116-80-50-51.indigo.static.arena.ne.jp : 4
116-80-50-56.indigo.static.arena.ne.jp : 4
116-80-50-81.indigo.static.arena.ne.jp : 2
116-80-50-86.indigo.static.arena.ne.jp : 2
116-80-51-87.indigo.static.arena.ne.jp : 2
116-80-58-197.indigo.static.arena.ne.jp : 1
116-80-58-199.indigo.static.arena.ne.jp : 2
116-80-58-91.indigo.static.arena.ne.jp : 2
116-80-59-227.indigo.static.arena.ne.jp : 2
116-80-69-249.indigo.static.arena.ne.jp : 4
116-80-69-252.indigo.static.arena.ne.jp : 6
116-80-70-101.indigo.static.arena.ne.jp : 4
116-80-70-102.indigo.static.arena.ne.jp : 4
116-80-70-103.indigo.static.arena.ne.jp : 2
116-80-70-105.indigo.static.arena.ne.jp : 4
116-80-70-124.indigo.static.arena.ne.jp : 4
116-80-70-19.indigo.static.arena.ne.jp : 2
116-80-70-193.indigo.static.arena.ne.jp : 2
116-80-70-83.indigo.static.arena.ne.jp : 8
116-80-70-87.indigo.static.arena.ne.jp : 2
116-80-70-99.indigo.static.arena.ne.jp : 2
116-80-71-165.indigo.static.arena.ne.jp : 2
116-80-71-174.indigo.static.arena.ne.jp : 2
116-80-71-177.indigo.static.arena.ne.jp : 2
116-80-71-182.indigo.static.arena.ne.jp : 2
116-80-71-187.indigo.static.arena.ne.jp : 2
116-80-71-189.indigo.static.arena.ne.jp : 2
116-80-76-101.indigo.static.arena.ne.jp : 2
116-80-76-133.indigo.static.arena.ne.jp : 2
116-80-76-134.indigo.static.arena.ne.jp : 2
116-80-76-135.indigo.static.arena.ne.jp : 2
116-80-76-160.indigo.static.arena.ne.jp : 2
116-80-76-214.indigo.static.arena.ne.jp : 2
116-80-76-45.indigo.static.arena.ne.jp : 2
116-80-76-95.indigo.static.arena.ne.jp : 2
116-80-77-127.indigo.static.arena.ne.jp : 2
116-80-77-82.indigo.static.arena.ne.jp : 2
116-80-89-101.indigo.static.arena.ne.jp : 4
116-80-89-102.indigo.static.arena.ne.jp : 5
116-80-89-107.indigo.static.arena.ne.jp : 8
116-80-89-112.indigo.static.arena.ne.jp : 2
116-80-89-114.indigo.static.arena.ne.jp : 4
116-80-89-142.indigo.static.arena.ne.jp : 2
116-80-89-151.indigo.static.arena.ne.jp : 6
116-80-89-153.indigo.static.arena.ne.jp : 4
116-80-89-155.indigo.static.arena.ne.jp : 6
116-80-89-167.indigo.static.arena.ne.jp : 4
116-80-89-176.indigo.static.arena.ne.jp : 2
116-80-89-94.indigo.static.arena.ne.jp : 6
116-80-89-99.indigo.static.arena.ne.jp : 5
116-80-90-37.indigo.static.arena.ne.jp : 2
116-80-90-46.indigo.static.arena.ne.jp : 2
116-80-90-93.indigo.static.arena.ne.jp : 2
116-80-90-95.indigo.static.arena.ne.jp : 2
140-227-65-5.vpscloud.static.arena.ne.jp : 776
157-120-40-248.indigo.static.arena.ne.jp : 2
157-120-41-23.indigo.static.arena.ne.jp : 2
157-120-41-246.indigo.static.arena.ne.jp : 2
157-120-41-6.indigo.static.arena.ne.jp : 2
157-120-42-14.indigo.static.arena.ne.jp : 2
160-248-187-110.indigo.static.arena.ne.jp : 2
160-248-187-111.indigo.static.arena.ne.jp : 2
160-248-187-119.indigo.static.arena.ne.jp : 2
160-248-187-99.indigo.static.arena.ne.jp : 2
160-248-6-147.indigo.static.arena.ne.jp : 2
160-248-6-151.indigo.static.arena.ne.jp : 2
160-248-91-170.indigo.static.arena.ne.jp : 2
160-248-91-178.indigo.static.arena.ne.jp : 2
161-34-66-133.indigo.static.arena.ne.jp : 2
161-34-66-138.indigo.static.arena.ne.jp : 2
161-34-66-139.indigo.static.arena.ne.jp : 2
161-34-66-140.indigo.static.arena.ne.jp : 2
161-34-66-141.indigo.static.arena.ne.jp : 2
164-70-119-146.indigo.static.arena.ne.jp : 2
164-70-120-115.indigo.static.arena.ne.jp : 2
164-70-120-118.indigo.static.arena.ne.jp : 2
164-70-120-119.indigo.static.arena.ne.jp : 2
164-70-74-12.indigo.static.arena.ne.jp : 2
164-70-74-154.indigo.static.arena.ne.jp : 2
164-70-74-33.indigo.static.arena.ne.jp : 2
164-70-97-107.indigo.static.arena.ne.jp : 2
164-70-97-54.indigo.static.arena.ne.jp : 2
164-70-97-57.indigo.static.arena.ne.jp : 2
164-70-97-86.indigo.static.arena.ne.jp : 2
164-70-97-90.indigo.static.arena.ne.jp : 2
164-70-97-91.indigo.static.arena.ne.jp : 2

約100台の indigo.static.arena.ne.jp から1台あたり数回のアタック と、 140-227-65-5.vpscloud.static.arena.ne.jp から 776回のアタックが発生しています。
これはどういうことなのか?WebARENA サイトでVPSの仕様を確認して、なんとなく状況が理解できました。

VPSクラウドと Indigo というサービスは、CPU、メモリ、ストレージ、ネットワークの時間貸しサービス。しかもとっても低料金。一日あたり(最低)12円程度でLinuxサーバーを借りることが出来ます。時間貸しなので、VPSサーバーを立てた後、必要な侵入ソフトを組み込んで、世界中のIPアドレスをスキャンしているものと思います。
SSHポートを開けているサーバーを見つけたら、VPSクラウドの方に移動して、侵入アタックを行うという具合。

多分、サーバー乗っ取りじゃなく、正式にVPSを借りているんでしょう。VPSをLinuxサーバーとして設定した場合、ガチガチのSSHサーバーとして自動設定されるので、SSHdの乗っ取りは相当困難。パスワードログインが禁止され、秘密鍵でのログインが必要になります。これを大量に乗っ取るのはちょっと無理でしょ。

他者のサーバーに侵者を試みる奴は、まずセキュリティーが弱いサーバーを見つけて踏み台になるサービスを乗っ取り、そこからIPアドレスをスキャンしたり、目的のサーバーに侵入を試みていました。乗っ取ったサーバーをどの程度利用できるかは、運次第。あまり派手にやると、気づかれてしまうし、慎重に乗っ取っていると、作業がはかどらない。

しかし、時間貸しのVPSの場合、お金さえ払えば、安値でサーバーの全機能使えます。WebARENA Indigoだと、月額350円で使いたい放題。パフォーマンスは限定されるものの、ポートスキャンして侵入パケットを送る程度ならハイパフォーマンスサーバーは不要。VPSを立ち上げて目的を達成した後、使ったVPSを削除してしまえば、次に立ち上げるVPSのIPアドレスが変わるので、複数のサーバーから攻撃しているように見せられるという具合。

他者のマシンに侵入を試みる犯人にとって、WebARENAは格好の踏み台にできます。

一応、WebARENAにログを送って、情報をインプットしておきました。対処してくれるかな~?ちなみにWebARENA は別のサービスを約20年間使い続けているので、好印象なのですが、さて、この件は、どうなるか?さくらインターネットのようなクソデータセンター業者じゃなければいいのですが。

余談になりますが、このWebARENA Indigo って、コストパフォーマンスがすごくいい。
もっと調べてみないと断言できませんが、グローバルネットワーク上に個人サーバーを持ちたい人に向いている気がします。

WebARENA SuiteX よりコストパフォーマンスが高そう。
自宅サーバーのセカンダリDNSを運用するため、インターネット回線を1本借りるより安い。自宅でDNSサーバー一台運用するための一か月の電気代より安い気がする。

自分のサーバーへ侵入してくる奴の情報を調べていて、偶然とってもいいサービスを見つけました。

2023/02/10 追記:

早速NTTPC WebARENA の対応窓口から返信があり、対応を行ったとのことです。素早いレスポンス。

見立て通り、WebARENA VPSサーバーが乗っ取られたのではなく、踏み台目的でレンタルされていた模様。国内サーバーを借りて国内のホストをアタックするなんて馬鹿としか言いようがない。簡単に個人を特定されてしまいます。まあ、クレジットカード情報や登録した電話番号が本人のものか、盗んだものかにもよりますけどね。正確なことはわかりませんが。
ここら辺のレスポンスが 迷惑をこうむっている被害者をゴミくらいにしか思っていない さくらインターネットと全く違います。

コストパフォーマンスに釣られて、私もWebARENA Indigo をレンタルしてみましたが、Linux OSを選択した場合は、サーバー初期状態で、外部から侵入するのはほぼ不可能。外から侵入するには、侵入できる穴があるアプリケーションパッケージを意図的にインストールするしかありません。初期状態では、何にも動いていませんからね。パスフレーズではログインできません。こんなの乗っ取るのは無理。

コメントを残す