【鯖】海外からのアクセスが多いので注意して下さい!

久しぶりのLinuxサーバーの話です・・・・。

このブログもwordpressを使用しています。
海外からのアクセスも無い訳ではありませんでしたが、この1.2週間は特に米や中、仏の国々からのアクセスが非常に多くなってきています。logを見るとwordpressへのPHP攻撃やCGIへのアクセスをしようとしているのが分かります。

ここはsakuraのレンタルサーバーですが、ここにも沢山海外からのお客様がいらっしゃっています。少し前までは、あまり来なかったのですが、先週あたりから異常に多い。

特に自宅サーバーを含め侵入された気配はありませんが、これだけ多くの海外アクセスが増えてくるとサーバーのパフォーマンスが低下してしまいます。下らない事にリソースを使いたくないですよね。

うぅ~海外からのアクセス全てを遮断したい。

だいたい日本語でしか書いてないのに、何で見にくるの?と思いたくなります。最近は翻訳ソフトも充実しているので翻訳して読んでくれれば有難いですが、まさかそんな訳ありません。

日本人向けに配信しているサイトは日本国だけ許可されていれば充分ですよね。
下手に色々な国を許可していてもロクな事ありません。

SSHやFTPなど自宅サーバーを外部からも許可しているのであれば、iptableの設定やパスワードを難しい内容に切り替える等の対処をしておいた方が良さそうです。メールサーバー(dovecot)等は、総当たり攻撃されたりするので、少しでも攻撃の気配がありそうなら、サービスを停止させ、ポートを閉じてしまうのもありかと思います。

今は世界的にも色々な場所で紛争が起きているのはご承知の通りかと思います。
そういう社会背景とこのインターネットの攻撃と比例している事もあります。特に近隣国が日本に対して良く思っていない、なにかに付けて攻撃したいという悪の感情をもった輩が沢山いるので、性善説で物事を考える訳にはいきません。

自分の組み立てた自宅サーバーが悪の手先となり、ダークなお仕事の手伝いをしていたなんて洒落になりません。ここは皆さん、注意を払って運用して下さい。

夜中は、ルーターでポートを閉じてしまうという手もあります。
logのチェックを怠らないようにお願いします。

自宅サーバー(ATOM)への攻撃が静かに・・。

色々とニュースではサイトへの攻撃や侵入が後を絶ちませんが、自宅でサーバーを運用されている人もddos攻撃やwordpressへの攻撃でlogを見る度に嫌な思いをしているのではないでしょうか。

攻撃してくる奴等は、自然とどこからかサーバーの在り処を調べてきます。
サーバーを立ち上げても1週間しない内に攻撃が始まったりします。

少し前に記事として、Dovecotやpostfixなどのメールサーバーの認証攻撃とhttpdのcgi-binやPHP等への攻撃が特に多く、一時的にはNTPサーバーへの攻撃がありました。私の家のサーバー環境は、サービスとして、Mail,FTP,SSH,httpdを立ち上げていますが、SSHとFTPはlocalnetのみしか接続出来ないように設定しています。(外部からアクセスして何かをするという事が無いので)Mailとhttpdはルーターでポートを開放してあり、サーバーのIPに繋がっています。

先ず、攻撃の多かったmailサーバーについては、ルーターのポートを閉じました。
元々サーバーからのメール(logwatchなど)を受信するものとして使用していたので、localだけで充分でした。外部とのやり取りはレンタルサーバーのメールアカウントが沢山あるので、こちらを使用するようにしました。そうするとポート25番、110番が閉じる事が出来ます。現在開放してあるポートはhttpdの80番のみです。

そして、このhttpdへの攻撃については、htaccessファイルを見直して、deny from allを基本とし、localを許可、jpを許可、その他google,bingのbot関係のIPを許可する事にしました。という事は日本国以外からのアクセスを遮断しているという事です。日本語で書いているブログですので海外からアクセスをして見る人もいないでしょうし、逆にこちらの方が安心という感じでしょうか。

そしてcgi-binについては、httpd.confで同じく<cgi-bin>の箇所をdeny fron all とし、localとjpだけ許可をしました。元々、このフォルダーは使用していないので、localだけ許可でもOKなのですが。こうするとネット上からcgi-binにアクセスしようとしても入れません。

以上の3点を見直す事によって、攻撃はほとんど無くなりました。
そして、攻撃が無くなった分、サーバーも身軽になったようで動作も速くなりました。後は、updateやcronの自動化を停止させて、時間がある時に手動で行う事にしました。こちらについては毎日、SSHでアクセスしてサーバーの状態を確認するのが日課となっているので全くもって問題ありません。

攻撃が酷くて困っている人、一度環境を見直してみてはいかがでしょうか。

【緊急】自宅サーバー運用の方はntpに注意です

昨年末あたりから自宅のATOMサーバーにntpdをやたら攻撃してくる輩が多くいました。
これは、logwatchで毎日メールでlogを抽出した形でメールで指定したアドレスに毎日サーバー自身が送ってくれるようになっています。その中にntpを攻撃しているIPがありました。

最近になってネットのニュースで記事が出ていましたので、この攻撃が広まっていると思います。
サーバー運用者の方は注意して欲しいと思います。

◯ニュース記事は →  こちら

ntpはUDPポートを使用しています。
このサービスが無いとシステムの時計が狂ってしまい、他のサーバーやパソコンと時間の同期が取れなくなってしまうため、自宅でサーバーを運用されている人は必ず設定をされていると思います。

前置きはさておき、処理をしましょう。

ntpdのバージョンが4.2.7p26よりも前のものはdisable monitorの一行をntp.confに付けてください。

◯ntpのVerを調べる場合= # ntpd -v
◯monlist機能をOFFに設定= # vi  /etc/ntp.conf  (centos5と6) 最後尾にdisable monitorを追加

私のCentOS-6のサーバーも4.2.6のバージョンだったので、disable monitorを追加しました。

攻撃がひどい場合にはサービスを停止させて、手動で時刻合わせをした方が良いかも知れません。

IoTって知ってる?

このスペルでわかる方いらっしゃいますか?
T_Tの泣いている顔ではありません。

これは、Internet of Things=IoT と言って、冷蔵庫や電子レンジを含めた家電製品がインターネットと繋がって、スマホなどから状況確認や操作ができるような仕組みの略称です。

新しい分野のスマート家電とも言われていますが、普通の家電製品から車や医療機器、防犯カメラ、建物の空調機器があります。2017年には2,400万世帯に拡大する見込みだそうです。

一般家電製品にそんなに求める事ってありますか?

冷蔵庫に何が入っていて、いつ購入した食品なのか?賞味期限はいつなのか?
はてさて、テレビやレコーダーの予約状況、エアコンやお風呂を何時に設定するとか。
これから呆け老人が増えるのに大丈夫なんでしょうか?
自分で設定しておいて忘れてしまう、「俺はそんな設定していない」など言い出しかねません。

家電自体が言葉で喋って動いてくれれば楽ですが、スマホや本体でデータを入力する必要もあるし、家の奥さんにそんなデジタルな行為を求めても無理のように思います。逆に全部やらされそうで嫌な感じしませんか?

家電は家電でも中にはOSが入っていて制御されています。
ということは、セキュリティ面も考慮すべき事項になります。

ニュース記事にこんなものが出ておりました。

itmediaニュース1月22日付より引用です。

冷蔵庫が迷惑メールを発信?「モノのインターネット・IoT」のセキュリティ不安が現実に

テレビや冷蔵庫といったスマート家電から防犯カメラやビルの空調、医療機器に至るまで、あらゆる機器がネットにつながる「モノのインターネット」(Internet of Things=IoT)が普及する中で、IoTに対するセキュリティ不安も高まっている。米セキュリティ機関のSANS Internet Storm Centerはこの問題にスポットを当てたWebキャストなどを開催。企業向けのデータ保護サービスを手掛けるProofpointは、冷蔵庫などのIoT機器から迷惑メールが大量送信されているのを初めて確認したと発表した。

 Proofpointによると、2013年12月23日~2014年1月6日にかけて、10万台位以上のコンシューマー機器から75万通以上の迷惑メールが発信された。ホームルータやマルチメディセンター、テレビといった機器、それに少なくとも冷蔵庫1台が不正侵入され、攻撃の踏み台として使われていたという。

 攻撃者はボットネット型マルウェアを使って他人のコンピュータを操るのと同じ手口で、ホームルータや家電などを「thingbots」(モノのボット)化して操り、不正行為に使っていたとされる。

 こうしたデバイスはセキュリティが手薄で、PCよりも簡単に不正侵入されてしまう可能性があるとProofpointは指摘する。多くは設定ミスがあったりデフォルトのパスワードを使っていたりして、完全に無防備な状態で公のネットワーク上にさらされているという。

 スマート家電などネット接続型デバイスの台数は今後数年のうちに、ネットに接続されたコンピュータの台数4倍に達するとの予想もある。IoTを使った攻撃の発生は、セキュリティ上重大な意味があるとProofpointは警鐘を鳴らしている。

 危険にさらされているのはコンシューマー機器にとどまらない。プリンタや防犯カメラ、空調、ビルの警報装置、医療機器、車など、あらゆるモノがスマート化されてチップが組み込まれ、ネットに接続されるようになっているとSANSは解説する。

みなさん、どう思われますか?

一般家電製品であれば高齢者も使用します。
もちろん、家の奥さんのようにパソコンに疎い人も使います。
そんな方々が狙い撃ちされそうですよね。

冷蔵庫が迷惑メール配信くらいなら笑えますが、扱い方(変に操作された場合)人の命に関わるような設定をされる懸念もありませんか?防犯カメラなんて、事件後に操作されて、押収される前に消されたりする事だって可能性が無い訳ではありません.

家電にも注意しなくてはいけない世の中っていうのもどうですか。

XP更新終了後に攻撃は増えると思うか?

このところ企業関係のニュースでXPをvistaや7に移行するのかどうかの記事多いですよね。
実際のところ、移行しない(移行出来ない)企業も多くありそうです。

普通の事務としての使い方では無く、基幹系システムを動かしていたりすると、そのままvistaや7に移行できない(ソフトが動かない)という現象があるようです。・・・前からXPは2014年には更新しないって言っていたのに何で対処していないんだ!とか意見もあるかと思いますが、こういう用途で使われていると、実際不安定な形での移行は出来ませんし、逆に障害を起こす可能性の方が高くなります。

今、言われているのは・・・・・・

1. XPの更新が終了すると沢山の攻撃が予想される。
2. ウイルス等沢山出回る。
3. 使っていると周囲の人達に迷惑がかかる。 などなど・・・。

そこで想像なんですが・・・・・

これから消えゆくOS用のウイルス等作るメリットってあるんですかね?
ウイルスや脆弱性のある箇所を狙った攻撃も不特定多数の一番多いOSに向かいませんか?
それが一番作った側にもメリットがある。
いわゆる汎用型として使いまわせる訳ですよね。

vistaや7をさておき消えゆくXP攻撃って少ない得しか無さそうに思いますが、皆さん、どう思います?

そうなると、XPを使っていると攻撃され易い!なんて作り出した人は、MSの関係者とかPCメーカーの関係者が販売目的による利益追求のための偽装工作だってあり得る訳です。

PCの知識の無い人は、XPを捨てて、直ぐに買い替えなければいけないと思うし、下手したら、高齢者がネットにも繋がっていないパソコンを買い換える事だってあるけです。販売店に相談したって、「買い換えないと危ないですよ」なんて言われて、「そうか、じゃぁ買うか」みたいな感じになるのです。他人の事だからどうでもいいよ!と思う人もいるかも知れませんが、言い方変えれば、使える物を使えないと嘘をついて売りつける悪徳商法と変わらないと思いませんか?

XPに対して、攻撃が増えるかどうかは現時点では分かりません。
これから使い続ける気持ちの方は、それなりの注意を払い、何かあった場合の対処方法も考え、使って欲しいと思います。

私なんて、家にはWindows2000がありますので、XPは最新OSですよ。

これから年賀状作ったり、アクセスで住所録作ったりも全てXPか2000を使います。もちろん、ネットには接続していません。ネットに繋がっていないPCだから、こういう作業には向いていますし、何しろデータ保全には最適この上なし。全てのPCがWAN(外部インターネット網)に繋がっていなくてはいけないという事ではありません。

それよりも、1台のパソコンであれこれするよりも、パソコンに合わせた作業分担で複数のPCを使うのも悪くはないのではと考えます。

捨てずに上手く使おうXP。

日本語でブログは書いているのに(怪しい海外アクセス)

このところブログにアクセスしてくれるのが日本だけではなく海外の国がとても多いです。
でも何かが怪しい!

と言うのが、日本語で書いているのに読める訳無いだろうと思うからです。
いくら海外に住んでいる日本人が見にくるとしても、こんなへなちょこブログには来ないはず。

====怪しいアクセスランキング====
1位はアメリカ
2位は中国
3位はカナダ
4位はフランス
==========================

やっぱ怪しいよね~。アメリカさんはMSの悪口書いていたからかな。まさかそんな事はないよね。

このブログがレンタルのさくらVPSなので、気にはしていませんが、他の人様に迷惑がかかるのが一番面倒だし、自分としては嫌な事です。多分、WordPressを使っていると、phpやら脆弱な部分を見つけてはしつこく攻撃してくる暇な方々がいるので、時々、レンタルサーバーでもアパッチのログを確認してみる必要性があるかも知れません。特にMacを使って攻撃してくる人がいますね。

自宅のサーバーではログの監視は毎日やっていますが、しつこいくらいに色々なURLを打ち込んでどんなエラーが出るのか確認をしているようです。ほとんどが404エラーで返していますが、中には200として、中が表示される物もあります。表示されても何も出来ませんが、ちょっとしたヒントを与える事にも繋がるので、こういうちょっとした行為を見逃さずに対処しなくてはなりません。

ApacheやPHP、SQL、Mail関係の表示はヴァージョンを全て隠すようにすべきです。ヴァージョンが分かると脆弱な部分が見えてしまうので、もしそのままであれば表示を隠すようにしてください。難しい対処もあれば簡単な対処もあるので、自分の出来る範疇で最大限努力してみましょう。出来ない場合には皆さんに聞いてみるのが一番かも。

このアクセス数字にはGoogleなどのbot(ロボット検索)なども含まれると思いますので、そんなに検索しなくてもいいよ。って思います。海外のbotに検索されても読めなければ意味がありません。中国のbotはしつこいよ~

今度の休日にはちょっとLogを調べ、対応をしようと思います。
皆さんのブログはどうなんでしょう。

次のページ →