none
米Microsoftから自宅FTPサーバへの大量のログイン試行に関して RRS feed

  • 質問

  • Twitterのサポートアカウントよりこちらを紹介されました.
    (http://twitter.com/MSHelpsJP/status/708101134125285376)

    先日,自宅に設置しているFTPサーバに,米Microsoft管理アドレスのホストから大量のログイン試行アクセスが行われておりました.
    秒間3-4回のアクセスが1時間40分以上にわたり継続して実行されており,その回数も気になるのですが,「何故Microsoftが一個人宅のサーバにDoS攻撃のような異常なアクセスを行ったのか」という点が不思議でなりません.
    このアクセスは何を目的としたものなのか,また接続元ホストはどういった用途に利用されているものなのか,ご教示いただけないでしょうか.

    ■以下環境

    サーバホスト = 153.160.73.166
    p2166-ipngn4601marunouchi.tokyo.ocn.ne.jp
    (現在は変更しています)

    OS = Windows Server 2003 R2 Standard SP2
    FTPサーバ = Internet Information Services 6.0
    初回アクセス日時 = 2016/03/09 03:20:33
    最終アクセス日時 = 2016/03/09 05:03:12
    ログイン試行回数 = 17,960回
    ログイン試行アカウント = Administrator / Admin / admin
    03:20:33-03:53:40 Administrator
    03:53:40-04:32:14 Admin
    04:32:14-05:03:12 admin

    クライアントホスト = 40.83.11.20

    なお,該当アカウントは無効または存在せず,負荷上昇以外の実害はありませんでした.

    ■以下ログ抜粋

    #Software: Microsoft Internet Information Services 6.0
    #Version: 1.0
    #Date: 2016-03-09 03:20:33
    #Fields: time c-ip cs-method cs-uri-stem sc-status sc-win32-status 
    03:20:33 40.83.11.20 [69]USER Administrator 331 0
    03:20:33 40.83.11.20 [69]PASS - 530 1326
    03:20:33 40.83.11.20 [69]USER Administrator 331 0
    03:20:33 40.83.11.20 [69]PASS - 530 1326
    03:20:33 40.83.11.20 [69]USER Administrator 331 0
    03:20:33 40.83.11.20 [69]PASS - 530 1326
    03:20:34 40.83.11.20 [69]USER Administrator 331 0
    03:20:34 40.83.11.20 [69]PASS - 530 1326
    03:20:34 40.83.11.20 [69]USER Administrator 331 0
    03:20:34 40.83.11.20 [69]PASS - 530 1326
    03:20:34 40.83.11.20 [69]USER Administrator 331 0
    03:20:34 40.83.11.20 [69]PASS - 530 1326
    03:20:35 40.83.11.20 [69]USER Administrator 331 0
    03:20:35 40.83.11.20 [69]PASS - 530 1326
    (中略)
    05:03:11 40.83.11.20 [69]USER admin 331 0
    05:03:11 40.83.11.20 [69]PASS - 530 1326
    05:03:11 40.83.11.20 [69]USER admin 331 0
    05:03:11 40.83.11.20 [69]PASS - 530 1326
    05:03:11 40.83.11.20 [69]USER admin 331 0
    05:03:12 40.83.11.20 [69]PASS - 530 1326
    05:03:12 40.83.11.20 [69]USER admin 331 0
    05:03:12 40.83.11.20 [69]PASS - 530 1326
    05:03:12 40.83.11.20 [69]USER admin 331 0
    05:03:12 40.83.11.20 [69]PASS - 530 1326

    log

    2016年3月11日 13:21

回答

すべての返信

  • 40.83.0.0/18はAzuleのIP範囲ですね。
    誰かがクラウドサービスを借りて攻撃したって話では。

    https://blogs.msdn.microsoft.com/ayatokura/2015/11/25/microsoft-azure-azureip/


    jzkey

    • 回答の候補に設定 チャブーンMVP 2016年3月11日 13:47
    • 回答としてマーク Anko.K 2016年3月11日 14:12
    2016年3月11日 13:42
  • Azure を悪用した人がいるのかもしれませんね。

    以下から Azure Datacenter の IP アドレスのレンジが書かれた XML を得ることができます。
    https://www.microsoft.com/en-us/download/details.aspx?id=41653

    この中に 40.83.0.0/18 があるので、40.83.11.20 はそのレンジ内にあたります。

    • 回答の候補に設定 チャブーンMVP 2016年3月11日 13:47
    • 回答としてマーク Anko.K 2016年3月11日 14:12
    2016年3月11日 13:43
  • 早速の回答ありがとうございます.
    なるほど,Azureのレンジでしたか.
    詳細な範囲までは確認していませんでした.
    身内向けに構築しているものであり,また該当レンジ以外にも時々アタックが行われているようなので,ホワイトリスト方式でのフィルタリングも検討したいと思います.

    Azulean様もご回答ありがとうございました.

    #こういったアクセスを行うユーザへの対応も適切に行っていただきたいです...
    2016年3月11日 14:12