Being attacked ?

สัปดาห์ที่ผ่านมา มีคน/โปรแกรม/etc. พยายามจะ access root/system/daemon accounts ทาง ssh บ่อยครั้งขึ้น .. สังเกตพบว่าเกิดกับทุกๆ เซิร์ฟเวอร์ที่ดูแลอยู่ (กรุงเทพฯ ขอนแก่น ราชบุรี) ซึ่งไม่มีข้อมูลอะไรบอกว่าเซิร์ฟเวอร์ทั้งหมดนี้มีอะไรเกี่ยวข้องกัน เลยเดาว่าน่าจะโจมตีแบบสุ่ม ไม่ได้จำเพาะเจาะจงว่าจะเป็นใคร … pattern การโจมตีเหมือนกันๆ (เข้าใจว่าใช้โปรแกรมหรือสคริปต์) .. ที่ผ่านมา IP ยังไม่ซ้ำกัน .. whois แล้วมาจาก ISP คนละแห่งกัน .. แต่ที่น่าสนใจคือ ทุก IP มาจาก “เกาหลีใต้” .. :(

Oct 13 03:31:47 ns sshd[89811]: Failed password for nobody from 220.76.147.222 port 49508 ssh2
Oct 13 03:31:54 ns sshd[89817]: Failed password for root from 220.76.147.222 port 49636 ssh2
Oct 13 03:31:57 ns sshd[89819]: Failed password for root from 220.76.147.222 port 49673 ssh2
Oct 13 03:32:00 ns sshd[89827]: Failed password for root from 220.76.147.222 port 49716 ssh2
Oct 13 03:32:05 ns sshd[89831]: Failed password for root from 220.76.147.222 port 49750 ssh2
Oct 13 03:32:08 ns sshd[89833]: Failed password for root from 220.76.147.222 port 49818 ssh2
Oct 13 03:32:22 ns sshd[89843]: Failed password for www from 220.76.147.222 port 49992 ssh2
Oct 13 03:32:43 ns sshd[89859]: Failed password for mysql from 220.76.147.222 port 50289 ssh2
Oct 13 03:32:45 ns sshd[89861]: Failed password for operator from 220.76.147.222 port 50321 ssh2
...

จริงๆ log ยาวกว่านี้เยอะ (~70 ครั้ง/วัน) .. มีใครเจออุบัติการณ์แบบนี้บ้างเนี่ยะ ? .. เอาคืนซักเปรี้ยงดีมั้ย ? .. ลอล