昨日、会社サーバーに接続してみると、ログイン試行失敗回数が107件でした。ログを確認してみると、すべてのエントリが私のIPアドレスから来ており、転送されたパスワードは空であるか、単に「password」であることがわかりました。
私のラップトップが一種のトロイの木馬に感染していると思われ、それが何であるかを理解しようとしています。これを行う方法を知っている人はいますか?
そして、これらの接続の試みを発見した後、Sophos Antivirusをインストールしましたが、スキャンに時間がかかり、関連情報はありません。
編集#1 これはログの一部です。
lip 24 15:03:38 SERVER sshd[28704]: error: PAM: Authentication failure for filip from 192.168.10.107
lip 24 15:03:38 SERVER sshd[28704]: Failed none for filip from 192.168.10.107 port 53304 ssh2
lip 24 15:03:38 SERVER sshd[28704]: Failed password for filip from 192.168.10.107 port 53304 ssh2
lip 24 15:03:38 SERVER sshd[28704]: Failed password for filip from 192.168.10.107 port 53304 ssh2
lip 24 15:03:38 SERVER sshd[28704]: error: maximum authentication attempts exceeded for filip from 192.168.10.107 port 53304 ssh2 [preauth]
オペレーティングシステムはopenSUSE Leap 15.1です。 「疑わしい」項目をインストールした記憶はありません。
ベストアンサー1
誤って設定されたスクリプトのように見えます。トロイの木馬が同じログインと空のパスワードを107回試みるのはなぜですか?
ラップトップがまだネットワークに接続されており、SSH ログインについて話していると仮定する場合は、次のコマンドを使用します。
netstat -anp | grep 22
どのプロセスが接続を試みているかをご覧ください。
しかし、ここにはより大きなセキュリティ問題があります。
まず、会社のSOCに事前に通知する必要があります。同じIPで107回の失敗したログイン試行を禁止せずに許可することは許可されていません。
第二に、あなたが書いた
渡されたパスワードは空またはパスワードです。
こういう言葉ができればこんな意味だ。パスワードはプレーンテキストとして送信され、ログにプレーンテキストとして保存されます。。