2009-04-21

2009-04-21 TWNIC上的Google Tw連線/頻寬資料

今天在看TWNIC-連線頻寬登錄查詢系統 的時候,赫然發現有Google出現在裡面(其實是之前沒注意)


2009年第2次 Flash圖 (調查時間2009年4月)



從TWNIC這份資料來看,跟GOOGLE台灣Data Center對接的單位如下

國內連線頻寬資料
互連單位
英文簡名
互連單位
中文簡名
AS Number頻寬種類數量(條)總頻寬(Mbps)
ASNet中研院92641G11000
e-MAX超級資訊網路
1G11000

裡面的 e-MAX 超級資訊網路 引起了我的好奇,所以開始查TWNIC那邊的歷史資料.

首先是看GOOGLE第一次出現在TWNIC連線頻寬資料之中,是在2009年第一次(1月)的報告
2009年第1次 Flash圖(調查時間2009年1月)


當時只有跟 ASNet 中研院有1G的連線頻寬.

而GOOGLE到了2009年第2次(調查時間2009年4月) 才出現跟 e-MAX 超級資訊網路有1G的連線頻寬

另外再看看 e-MAX 超級資訊網路 這單位的背景/連線頻寬資訊 http://map.twnic.net.tw/main01_1.php?UnitESName=e-MAX&UnitType=C


e-MAX並沒有直接連到國外的線路


國內連線頻寬資料
互連單位
英文簡名
互連單位
中文簡名
AS Number頻寬種類數量
(條)
總頻寬
(Mbps)
google
151691G11000
KGEx和宇寬頻99181G11000
NTTNTT29141G11000
TCOL永大數位動力17809Other220000
TFN台灣固網99241G11000

比較特別的是他對 TCOL 永大數位動力 有20G的連線頻寬

接下來再看看 TCOL 永大數位動力 的資料 http://map.twnic.net.tw/main01_1.php?UnitESName=TCOL&UnitType=C

看TCOL的負責人跟上面的e-MAX 是同一位,看來屬於同一個集團的不同公司.
而TCOL 在對國外也只有通過 EBIX 亞太交換中心 2G的線路,在對國外連線上並沒有特別的優勢

看了下 e-MAX/TCOL的網頁資料,他們是屬於 午陽集團 ,而該集團是在台中地區經營地區寬頻服務的..

午陽關係企業網站中還有一個歷史悠久讓人懷念的 酷必得購物網

看到這裡真的是挺好奇的,GOOGLE TW Data Center為什麼除了中研院之外就只跟e-MAX對接??
還是說TWNIC的調查資料有其他與GOOGLE對接的單位沒有回報上去??
從TWNIC的資料中看GOOGLE的詳細資訊都是空的,可能GOOGLE並沒有去TWNIC登錄,而是其他單位登錄資料中有出現GOOGLE才會有的吧.
有人知道真正的原因嗎?? PLURK討論串
============================================================

============================================================
2009-04-22 update: 在PLURK討論串中感謝熱心網友提供資料
costw : PCZONE 討論區:華信與google
談戀愛都是上世紀末的事了 : 在peeringdb上面看到的資料在台灣只有跟Chief LY Building Taipei做peering
只是看完以後疑問更多 =_=""

2009-04-18

2009-04-18 SSH入侵嘗試密碼蒐集

在去年 (2008-05-30) 做過一次 SSH入侵嘗試所使用的密碼蒐集記錄 之後,
本週(2009-04-10~2009-04-18)又做了一次針對SSHD (TCP/22)的暴力入侵嘗試帳號/密碼蒐集.
2009-04-10 到 2009-04-18 總共蒐集到 10,538 次的入侵帳密嘗試
依據來源IP/次數統計,共有36個IP,排序如下

ip次數國家/地區
59.179.244.52257印度
211.44.250.2351420韓國
58.62.125.1621365中國廣東省廣州市
122.117.101.25893臺灣 中華電信
202.125.47.222848澳大利亞
82.87.10.24713西班牙
61.152.169.68669中國上海市
60.220.248.57610中國山西省長治市
59.124.0.194482臺灣 中華電信
200.49.156.246343巴西
203.110.208.68223印度
204.15.194.76118美國
193.194.81.53109阿爾及利亞
222.218.156.41107廣西北海市
218.1.118.6957中國上海市
221.194.128.6641中國河北省廊坊市
211.75.183.11537臺灣 中華電信
59.144.1.2333印度
78.143.45.231德國
211.138.191.5025中國安徽省
210.18.127.22721印度
220.229.57.15216臺灣 新世紀資通
61.191.57.3215中國安徽省合肥市
218.22.67.12315中國安徽省蕪湖市
61.147.115.14715中國江蘇省揚州市
61.150.111.19815中國陝西省安康市
59.125.137.4110臺灣 中華電信
218.36.124.13810韓國
124.128.93.1189中國山東省濟南市
218.56.61.1149中國山東省濟南市
89.212.76.1116斯洛文尼亞
211.100.17.876北京市
58.196.29.335中國 教育網
88.169.116.2442法國
41.241.234.2452南非
61.175.196.1821中國浙江省杭州市


依據使用的帳號/次數統計,這10,538 次的帳號密碼嘗試總共用了2,834個帳號,
以下是超過40次的帳號排序
ID次數
root2558
test183
admin131
user93
guest90
oracle75
tester73
testing65
mysql54
ftp51
administrator49
postfix45
adm41


依據使用的密碼/次數統計,共嘗試了5,339個密碼
以下是超過40次的密碼排序
PWD次數
123456441
password365
test193
12345171
1234166
123160
test123152
passwd138
182
123456754
admin46


而從中發現到幾個比較特別含有特殊字元的密碼有
!@#$%^&*()
#no6412temp
%5%7%4%5%1%4%8%7
&thecentercannothold&
';lkjhgfdsa
+#SGU9&rbf-#

基本上從這邊導出的結論跟去年差不多

以下是簡單歸納出的幾個已知規則
a.一般常見英文名/系統預設服務名/單辭
b.單一/重複數字 (ex: 1,2222 , 33333333)
c
.順序數字 or 帳號+順序數字 (ex: 123 , 1234 , 987654321, root123)
d.順序符號 (ex: !@#$% , !@#$%^&*() , )(*&^%$#@! )
e.鍵盤順序字母(ex: qwerty , asdfgh , 1qaz2wsx3edc4rfv , 3edc4rfv5tgb)
f.簡單文字符號代換(ex: r@@t , p@ssw0rd )

針對sshd安全建議:

1.可能的話把port改掉,不要用default的TCP/22
2.不要允許root登入(
PermitRootLogin no)
3.若情況允許,使用AllowUsers來設定允許SSH登入帳號的正面表列
4.直接關掉PasswordAuthentication,改用authentication key驗證


完整的時間/ID/PWD/IP紀錄已放在GOOGLE DOC上,請自行參閱 http://spreadsheets.google.com/pub?key=pj62VKrg9JNMO9SbmF2eIRA
如果在那裡面能蒐到所使用的密碼,建議立即更換.


2009-04-19 update: 後續持續蒐集,發現到 59.179.244.5 這個印度IP持續在做帳號密碼嘗試的動作,截至 2009-04-19 18:54:17 為止, 59.179.244.5 總共TRY了13509次,完整LOG http://spreadsheets.google.com/pub?key=pj62VKrg9JNNTcj_DnPbAdw 而且頻率並不固定,同時有出現帳密互換後來TRY的情況,推測不像一般是WORM之類的在自動跑而是有人為介入的在嘗試; 這邊特別把這IP用過的ID/PWD字典整理排序出來 http://spreadsheets.google.com/pub?key=pj62VKrg9JNNJaaATx94HUA

2009-04-16

2009-04-16 沒有任何防護的Windows 2000掛上網路能撐多久?

前兩天吃飽撐著時有個想法,弄台沒有任何防護(無防毒/防火牆)也沒update的Windows 2000 (SP4)直接掛上Internet,看它能撐多久.
測試日期為2009-04-13~2009-04-14 , 拿我一個閒置很久的IP來掛上.
多次測試的結果是..頂多撐10分鐘.
過程中只要發現有中標後就將測試環境整個還原後重新測試. 每次都在10分鐘之內淪陷.

這裡有用wireshark錄到的三次worm成功打進來的cap檔,可以從中看出所使用的手法,也有紀錄到打進來以後指定下載的惡意檔案位置.

從實測看來,目前Internet上四處流竄的worm主要是針對去年底MS08-067的漏洞針對 TCP:445來進行滲透感染.
成功後通知下載指定的惡意檔案.
其中有發現到的有三隻,分別是
http://83.111.115.55:4243/yxwhmqfu (4/16再次測試時還在)

這隻是 WORM/Conficker.AC ThreadExpert的報告& Virustotal的報告

http://59.125.12.124:33220/x (4/16再次測試時此連結已失效)

這隻是 Worm/Autorun.fla.1 ThreadExpert的報告& Virustotal的報告

tftp 59.147.183.11 ssms.exe (4/16再次測試已失效)

這隻是 WORM/SdBo.167936.56 (當時手滑沒留檔..不過從cap將封包資料重組匯出後小紅傘報的是這個)

另外還有一隻 http://doiluc.com/demo.exe 在當時就404了


等上述的檔案下完以後就自行感染並成為宿主向外狂掃/打 tcp:445
當然這試驗有點過分的刻意了,任何防護都沒有就掛上internet是挺蠢的一件事..

其實Windows 2000只要勤快點把update追到最新,原則上可以稍微抵擋一下這些四處流竄的worm攻勢(起碼不至於被秒殺).

目前看到的 頻率是大概10分鐘就會被不特定來源的worm搞一次;

看來最大的問題是這世界啥都可能會缺.可是就不缺懶人,難怪永遠都會有一堆的肉雞.

2009-04-05

2009-04-05 Plurk一天產生多少則新訊息?(續)

繼上次二月中算過一次2009-02-18 Plurk一天產生多少則新訊息? 之後

今天(4/5)再來算一次,看看隔了一個半月有沒有什麼改變.
目前搭配了 Plurk Time Jumper外掛以後整個找指定時間噗的速度比上次快多了.
.只要到 "更多有趣的噗浪客" 那邊, 篩選條件都選全部..基本上公開河道上就會SHOW 所有的噗...


然後再用Plurk Time Jumper的JumpTo去指定時間來找噗.... 指定2009/4/3 0:0:1 可以找到 4/3 0:0:0前後的噗 (以我這邊設定的台北時間為準)


找到的整點採線噗URL頁面編號是 mc3h4


之後依序用Plurk Time Jumper的JumpTo指定 2009/4/4 0:0:1 & 2009/4/3 0:0:1找出的整點採線噗URL頁面編號
2009/4/4 0:0:0 整點採線噗URL頁面編號是 mhpvs


2009/4/5 0:0:0 整點採線噗URL頁面編號是 mmf1e


所以這邊得到了3個plurk_ids 編號 4/3 mc3h4 4/4 mhpvs 4/5 mmf1e
而單筆plurk的ids編號是36進位,這噗有從PLURK用的Javascript中找到他們轉的方法,是用javascript的 toString(36)去把10進位轉為36進位的字串,
利用javascript轉回去則可用parseInt('string',36); 所以把那三個編號代入相減便可得到當天的總噗量.
用下面這段直接貼到瀏覽器的URL列就可以得到結果

javascript:alert('4/3 Plurks= '+(parseInt('mhpvs',36)-parseInt('mc3h4',36))+' \n4/4 Plurks= '+(parseInt('mmf1e',36)-parseInt('mhpvs',36)) );

得出:
4/3 Plurks= 262320
4/4 Plurks= 219226

也就是
4月3日 星期五,整個Plurk總共產生了26萬2千筆新訊息
4月4日 星期六,整個Plurk總共產生了21萬9千筆新訊息


上次計算後得出的結論一樣,也就是假日的噗會少不少.
而單日總噗量則是由二月中的 (工作日)19 & (假日)17萬 成長到 26 & 22萬

PS:p.s. 這數字是全球的單日噗總量,不單是台灣的.
另外"更多有趣的噗浪客" 那邊公開可查的目前大概是10天左右的量.. 2009-04-06 看來PLURK把那邊的資料有清過了..囧..
低調同場加映另一個惡搞下的發現XD
====PLURK有多少用戶(原噗)==== 圖檔備份XD