最近ようやっとLinuxサーバにPOPサーバを導入してみたわけです。
さて、Linuxではデフォルトでlogwatchというサービスが毎日実行されます。
ディスク容量とか変なログとか、認証系ログとかをせっせと送ってくれるわけですが、
本日素敵なものを発見。
--------------------- pam_unix Begin ------------------------
vsftpd:
Unknown Entries:
check pass; user unknown: 4566 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=125.210.253.164 : 2283 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=61.49.18.189 : 2283 Time(s)
---------------------- pam_unix End -------------------------
--------------------- Connections (secure-log) Begin ------------------------
**Unmatched Entries**
vsftpd: pam_succeed_if(vsftpd:auth): error retrieving information about user Administrator
(以下、4566行同じログが続く・・・)
---------------------- Connections (secure-log) End -------------------------
なにやら、125.210.253.164と61.49.18.189からアクセスがあって
check pass; user unknown なので存在しないユーザで必死にアクセスしようとしているようです。
しかも、それぞれ2283回ずつ・・・あほか。
認証系が記録される/var/log/secureを確認してみましたが、
結局はログインできていないようで。
Administratorでログインしようとしているってことは、対Windowsの攻撃なのか?
まあ、こんなことすんのは、どこのどいつじゃい、と思い、IPアドレスをaguseに放り込む
結果は、両方とも中国
なんともテンプレかとも思いたくなるような結果!
さて、こいつは何かでアクセス拒否すべきなわけですが、
どういう方法で拒否るか。
FTPサービスに対して攻撃を仕掛けているのでTCP Wrapperか
それとも、iptablesでそもそも拒否してしまうか。
はたまたルーターで拒否してしまうか。
ルーターは再起動など入ってしまうと面倒なので、とりあえずiptablesによる制限を実施。
#また後でルーターも設定するかもしらんけど。
実行コマンドは以下。最後は反映されているかの確認。
# iptables -A INPUT -s 125.210.253.164 -j DROP
# iptables -A INPUT -s 61.49.18.189 -j DROP
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 125.210.253.164 anywhere
DROP all -- 61.49.18.189 anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
いつするかわからないけど、再起動時にも適用されるようにする。
initスクリプトでできるので便利
# /etc/init.d/iptables save
ファイアウォールのルールを /etc/sysconfig/iptables に保存中[ OK ]
# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Sat Sep 5 06:52:58 2009
*filter
:INPUT ACCEPT [731:138449]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [691:138611]
-A INPUT -s 125.210.253.164 -j DROP
-A INPUT -s 61.49.18.189 -j DROP
COMMIT
# Completed on Sat Sep 5 06:52:58 2009
なお、chkconfigがONになってない人は注意するよーに(私とか)
# chkconfig --list iptables
iptables 0:off 1:off 2:on 3:off 4:on 5:on 6:off
# chkconfig iptables on
# chkconfig --list iptables
iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off
検索ボックス
| 日 | 月 | 火 | 水 | 木 | 金 | 土 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
最近の記事
最近のコメント
修羅場っておいしい by favwin (12/30)
LVM de kernel panic ! by peapaig (12/30)
修羅場っておいしい by ylancat (12/30)
修羅場っておいしい by ylancat (12/30)
修羅場っておいしい by sanslan (12/30)
LVM de kernel panic ! by peapaig (12/30)
修羅場っておいしい by ylancat (12/30)
修羅場っておいしい by ylancat (12/30)
修羅場っておいしい by sanslan (12/30)
カテゴリ
タグクラウド
過去ログ
2015年01月(1)
2012年09月(2)
2012年07月(2)
2012年06月(1)
2012年05月(7)
2011年05月(3)
2011年04月(4)
2010年12月(2)
2010年11月(4)
2010年10月(1)
2010年07月(3)
2010年03月(1)
2010年02月(3)
2010年01月(3)
2009年12月(1)
2009年11月(1)
2009年09月(1)
2009年08月(2)
2009年07月(2)
2009年06月(1)
2012年09月(2)
2012年07月(2)
2012年06月(1)
2012年05月(7)
2011年05月(3)
2011年04月(4)
2010年12月(2)
2010年11月(4)
2010年10月(1)
2010年07月(3)
2010年03月(1)
2010年02月(3)
2010年01月(3)
2009年12月(1)
2009年11月(1)
2009年09月(1)
2009年08月(2)
2009年07月(2)
2009年06月(1)
