delphij's Chaos

选择chaos这个词是因为~~实在很难找到一个更合适的词来形容这儿了……

28 Oct 2006

机房啊,机房……

说说这周发生的事情。

这周初步解决了困扰很久的ssh密码扫描蠕虫的问题。习惯上我是上来就禁止口令登录的,所以这种扫描(据蜘蛛说,这是一种叫做scanssh的虫子,不过我手头没有蜜罐资源,所以也就没有捕捉样本)没什么用,不过这种虫子讨厌的地方在于它能够花费几个小时的时间去穷举你的口令,而且是不同的帐号,这会产生几百KB的日志。

很明显,对于一个每天阅读日志的人来说,这会让你花费一些时间去处理很多其实无关紧要的日志。毫无疑问地,这种情况会影响管理员的判断力。在花了几天时间收集日志,并对攻击IP进行扫描之后,我发现只有Linux会感染这种虫子,那么想要阻止这种攻击,方法也就很显而易见了——封禁所有来自Linux到ssh端口的访问。

不过,老话说得好,叫做按下葫芦浮起瓢——有一天我很惊异地发现,tarsier居然连不上了。找了一台旁边的机器做隧道连过去发现,这台机器还在,只是网关在跟另一台机器抢IP。打电话给机房,机房的同学很惊讶地问我是如何发现的——这让我想起了上次我发现他们的测试机在发邮件蠕虫——FreeBSD自带的每日审计功能真是很管用,对于没有什么时间去照看服务器的人来说,这个审计功能几乎相当于雇了一个人实时地看着服务器的状况,并每天汇总汇报。但是这倒罢了,机房给了我一个令人啼笑皆非的workaround——把网关的MAC地址绑死……

事实证明,真的需要这样做。我今天再次收到了日志汇报:

Oct 26 20:26:48 tarsier kernel: arp: 00:11:09:09:c3:90 attempts to modify permanent entry for ***.**.***.1 on em0

强死了……独善其身看来是不够的,说不定以后得让机器具有发送短信提醒的能力!