株式会社ヴァンデミックシステム

Blog

<スポンサーリンク>

このサーバは、sshdが動作しており、インターネットから直接アクセスできるサブネットに配置されている。
パブリックIPアドレスも持っていて、secure.logには大量のsshアクセス試行が記録されていたりしていた。

要は、EC2にトロイの木馬的なものが仕込まれていて、DNS照会を大量にしていた?からかGarudDutyで検出された模様

secure.logを見てみると次のようなアクセスが大量に記録されており、まさに「static.jhstelecom.com.br 」を名前解決しようとして失敗しているため出力されているみたいだった。

こちらの対処をしてたぶん解決した

https://access.redhat.com/ja/solutions/742733

ちなみに、static.jhstelecom.com.brをdigするとGarudDutyで検出された

<スポンサーリンク>

コメントを残す

Allowed tags:  you may use these HTML tags and attributes: <a href="">, <strong>, <em>, <h1>, <h2>, <h3>
Please note:  all comments go through moderation.

*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)