Skip to main content.

En dos servidores encontré muchos intentos de ingreso por ssh desde direcciones en el segmento 43.255.191.0/24. Encontré que es una "tendencia" de un grupo asiatico desde mitad de 2014 que CISCO y Level 3, ha llamado SSHPsychos:

https://blogs.cisco.com/security/talos/sshpsychos

El mismo problema es reportado al menos en: http://longtail.it.marist.edu/honey/class_c_hall_of_shame.shtml

Una muestra analizando bitacoras almacenadas entre el 27.Mar.2105 y el 16.May.2015:

Usuario validos e IP ingresos fallidos:
27920 root 43.255.191.138
17563 root 43.255.191.156
16246 root 43.255.191.144
14811 root 221.235.189.249
11307 root 43.255.191.134
10409 root 212.227.134.65
10359 root 43.255.191.154
10136 root 43.255.191.164
 9568 root 43.255.190.126
 9542 root 43.255.191.143
 9484 root 43.255.190.132
 8395 root 43.255.190.148
 8281 root 43.255.190.185
 8095 root 43.255.190.115
 8064 root 43.255.190.122
 7922 root 59.47.0.152
 7840 root 43.255.191.155
 7638 root 43.255.190.191
 7588 root 43.255.190.89
:

Examinando de donde proviene una de estas direcciones:

$ dig -x 43.255.191.156

; <<>> DiG 9.4.2-P2 <<>> -x 43.255.191.156
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 47394
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;156.191.255.43.in-addr.arpa.   IN      PTR

;; AUTHORITY SECTION:
43.in-addr.arpa.        10800   IN      SOA     ns1.apnic.net. read-txt-record-of-zone-first-dns-admin.apnic.net. 8205 7200 1800 604800 172800

;; Query time: 222 msec
;; SERVER: 192.168.177.19#53(192.168.177.19)
;; WHEN: Sat May 16 06:17:40 2015
;; MSG SIZE  rcvd: 134

Se ve que fue asignada por APNIC (que maneja IPs de Asia y Pacífico), pero no los detalles completos de la organización que la asignó. APNIC tiene su propio servidor whois que debe consultarse desde http://wq.apnic.net/apnic-bin/whois.pl . Haciendolo encontramos:

% APNIC found the following authoritative answer from: whois.apnic.net
% whois.apnic.net?
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html
% Information related to '43.255.191.0 - 43.255.191.255'
inetnum:        43.255.191.0 - 43.255.191.255
netname:        SexInSex?
descr:          Shimizu Hang Road, Causeway Bay, Hong Kong International 411
country:        HK
admin-c:        BDIC1-AP
tech-c:         BDIC1-AP
status:         ASSIGNED NON-PORTABLE
notify:         admin93
mnt-by:         MAINT-BIG-HK
mnt-lower:      MAINT-BIG-HK
mnt-routes:     MAINT-BIG-HK
mnt-irt:        IRT-BIG-HK
changed:        admin93 20130819
source:         APNIC
irt:            IRT-BIG-HK
address:        UNIT17 9/F TOWER, A NEW MANDARIN PLAZA, NO 14 SCIENCE MUSEUM RD TST, HONGKONG HONGKONG
e-mail:         abuse0451dns
abuse-mailbox:  abuse0451dns
admin-c:        BDIC1-AP
tech-c:         BDIC1-AP
auth:           # Filtered
mnt-by:         MAINT-BIG-HK
changed:        hmchangedapnic 20130909
source:         APNIC
role:           Big Dipper international company limited administr
address:        UNIT17 9/F TOWER, A NEW MANDARIN PLAZA, NO 14 SCIENCE MUSEUM RD TST, HONGKONG HONGKONG
country:        HK
phone:          +86018676767557
fax-no:         +86018676767557
e-mail:         abuse0451dns
admin-c:        BDIC1-AP
tech-c:         BDIC1-AP
nic-hdl:        BDIC1-AP
mnt-by:         MAINT-BIG-HK
changed:        hmchangedapnic 20130909
source:         APNIC
% Information related to '43.255.188.0/22AS134121'
route:          43.255.188.0/22
descr:          email admin93
origin:         AS134121
country:        HK
notify:         admin93
mnt-lower:      MAINT-BIG-HK
mnt-routes:     MAINT-BIG-HK
mnt-by:         MAINT-BIG-HK
changed:        admin93 20150401
source:         APNIC
% Information related to '43.255.188.0/22AS134176'
route:          43.255.188.0/22
descr:          email admin93
origin:         AS134176
country:        CN
notify:         QQWUGU126
mnt-lower:      MAINT-BIG-HK
mnt-routes:     MAINT-BIG-HK
mnt-by:         MAINT-BIG-HK
changed:        QQWUGU126 20150508
source:         APNIC
% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r3? (WHOIS2)

Entiendo los esfuerzos de Level 3 y CISCO por bloquear este segmento, pero no entiendo porque no hay esfuerzos de APNIC quien lo asignó completo cuando la evidencia de los ataques es tan contundente.

Subpages:
· SSHPsychos