自宅 – ページ 2 – 　　　　　　　　　おやじdemo

【鯖】海外からのアクセスが多いので注意して下さい！

5月 142014

久しぶりのLinuxサーバーの話です・・・・。

このブログもwordpressを使用しています。
海外からのアクセスも無い訳ではありませんでしたが、この1.2週間は特に米や中、仏の国々からのアクセスが非常に多くなってきています。logを見るとwordpressへのPHP攻撃やCGIへのアクセスをしようとしているのが分かります。

ここはsakuraのレンタルサーバーですが、ここにも沢山海外からのお客様がいらっしゃっています。少し前までは、あまり来なかったのですが、先週あたりから異常に多い。

特に自宅サーバーを含め侵入された気配はありませんが、これだけ多くの海外アクセスが増えてくるとサーバーのパフォーマンスが低下してしまいます。下らない事にリソースを使いたくないですよね。

うぅ～海外からのアクセス全てを遮断したい。

だいたい日本語でしか書いてないのに、何で見にくるの？と思いたくなります。最近は翻訳ソフトも充実しているので翻訳して読んでくれれば有難いですが、まさかそんな訳ありません。

日本人向けに配信しているサイトは日本国だけ許可されていれば充分ですよね。
下手に色々な国を許可していてもロクな事ありません。

SSHやFTPなど自宅サーバーを外部からも許可しているのであれば、iptableの設定やパスワードを難しい内容に切り替える等の対処をしておいた方が良さそうです。メールサーバー（dovecot）等は、総当たり攻撃されたりするので、少しでも攻撃の気配がありそうなら、サービスを停止させ、ポートを閉じてしまうのもありかと思います。

今は世界的にも色々な場所で紛争が起きているのはご承知の通りかと思います。
そういう社会背景とこのインターネットの攻撃と比例している事もあります。特に近隣国が日本に対して良く思っていない、なにかに付けて攻撃したいという悪の感情をもった輩が沢山いるので、性善説で物事を考える訳にはいきません。

自分の組み立てた自宅サーバーが悪の手先となり、ダークなお仕事の手伝いをしていたなんて洒落になりません。ここは皆さん、注意を払って運用して下さい。

夜中は、ルーターでポートを閉じてしまうという手もあります。
logのチェックを怠らないようにお願いします。

ネットワーク内のXP1台だけネット接続を切る方法

Windowsについて No Responses »

3月 222014

このブログの読者からメールで質問を頂きました。

内容は・・・・・
「家のネットワークにXPのパソコンが1台あります。他のパソコンは2台あり、windows-7とvistaです。このXPのパソコンだけネットに接続出来ないようにしたいのですが、どうしたらいいでしょうか？」という事です。

答えとしては・・・・・

◎一番の方法はネットワークケーブルを外す事です。ルーターもしくはHUBからきているケーブルをXPのパソコンから抜くだけなので一番早いし、安全な方法です。

◎別の方法はXPのパソコンのネットワーク設定からデフォルトゲートウエイの設定を消す事です。ゲートウエイというのは外部（WAN）に接続するための入り口となるので、普通はルーターになっています。設定の変更方法は図で説明します。

XPのデスクトップの画面にネットワークのアイコンがあるかと思いますが、これを右クリックでプロパティを表示させてください。すると、この図の左のような画面になります。（図はwindows-7のものです）この中のインターネットプロトコル（TCP-IP　IPｖ4）をクリックしてプロパティを表示させると、図2の画面になります。

この図2の設定を良く見てください。
「IPアドレスを自動的に取得する」にチェックが入っているか？それとも、「次のIPアドレスを使う」にチェックが入っているか見てください。普通だと自動的に取得するにチェックが入っています。これは用語でDHCPといい、パソコンにIPアドレスを自動的にルーター側で振っているという事になります。この自動的に取得する方法だとゲートウエイも自動的に設定されてしまうので、これを「次のIPアドレスを使う」にチェックを変更してください。

◎IPアドレス　　192.168.1.XX　もしくは　192.168.0.XXにする。
（この192.168.1か192.168.0なのか分からない場合には、アクセサリーの中のコマンドプロンプトを起動してipconfigと打ち込むと、現在のIPアドレスが表示されるので、そこで確認をしてください）XXはルーターでDHCPで割り当てないIPアドレス番号を付けてください。分かり易く192.168.1.100とか192.168.0.100とかが良いのではないでしょうか。

◎サブネットマスク　255.255.255.0 と打ち込んで下さい。
◎デフォルトゲートウエイ　入力しないでください。

◎DNSは自動を止めて、「次のDNSサーバーのアドレスを使う」にチェックをして、ルーターのIPアドレスを入力してください。これは先ほどコマンドプロンプトで調べたipconfigの中にあるデフォルトゲートウエイと同じIPを入力してください。多分、192.168.0.1か192.168.1.1となっているのではないでしょうか。

これでパソコン本体を再起動かければ完成です。

XPのパソコンからはネットに接続出来ないと思います。ただし、ローカルネットのファイルの共有やプリンターの共有は出来ていると思います。

◆注意点
XPのパソコン本体がネットに接続していなくても、他のwindowsのパソコンがウイルス等に感染したり、感染しているファイルが保存されていたりすると、XPにファイル共有という流れで感染する恐れもあります。この点は十分留意して使って欲しいと思います。しつこく書きますが、一番安全なのは。ネットワークケーブルを繋げないで使用する事です。ファイルの移動は面倒でもUSBメモリなど使うのが良いと思います。（勿論、USBメモリもウイルスチェックしてください）

【はとバス】WEB改ざんで閲覧者ウイルス感染の恐れ

ニュース記事, 個人的な意見 No Responses »

2月 262014

ニュース記事で読まれた方、いらっしゃるかと思います。
旅行会社のはとバスのホームページが改ざんされて、アクセスするとウイルスに感染するような仕掛けが施されていたということです。

記事はこちら⇒ http://itpro.nikkeibp.co.jp/article/NEWS/20140226/539688/?top_nhl

2014年2月18日21時48分から同年2月24日10時50分までの間にアクセスした人は直ぐにウイルスチェックをして欲しいと思います。

問題なのは、改ざんされてから発見されるまでに5.6日かかってますよね。

毎日、logを調べていないんですかね。
Linux系のサーバーであれば、改ざんされているかどうかchkrootkitで調べれば直ぐに分かると思うのですが、普通に見ているだけでは改ざんってなかなか分からないように処理しています。

多分（私の予想ですが・・・）、改ざん前にbackdoorを仕掛けられていますね。
本来であればその時点で気が付かなくてはならないと思います。
logなんかも都合の悪い部分を消していったりするようなので、こうなるともう元に戻すのも大変です。

はとバスさんに限らずHPで広告・宣伝している会社は、そのHPが少しの間停止するだけでも営業面ではダメージが多いので、HP管理者の方は大変かと思いますが、事が大きくなる前に処置をすべきかと思います。ましては、海外からのお客さんが見るために、海外の怪しいIPを止める訳にもいかず、対応が難しいです。

そして、こういう行為をする連中は必ず、どこか乗っ取ったサーバーやPCからアクセスをしてくるので、IPを止めても切が無い状態です。今回のウイルス感染で、乗っ取られ易いサーバーが増えてしまっているという事も考えられます。

深く考えると、はとバスの会社を狙ったのでは無く、感染させて乗っ取るパソコンを増やすための行為、目的は違うところにある可能性もあります。乗っ取った予備軍のパソコンで他の国に攻撃を仕掛けるとか、ネットバンクを狙うとかの犯罪行為です。

そんな脅威も可能性としてはあるので、定期的なウイルスチェックをしてください。

自宅でサーバーを運用されている人も多いかと思いますが、本当に最近は攻撃が多いので、怪しいと思ったIPは直ぐに止める（遮断する）、国ごと遮断する、余計なポートは閉じる（ルータを閉める）、htaccessを見直すという事をやって欲しいと思います。

こんなに色々なところで攻撃や乗っ取り、改ざんが増えているという事は、これから何かネット上で起きる何かがあるのか？と考えていまいます。

攻撃は夜中から明け方が多いので、その間はサーバーを停止させる、メールサーバーを止めるなども一つの手かも知れません。真夜中はcronで自動にupdateやウイルスチェック,chkrootkitなど動作させている人も少なくないと思いますが、サーバーに負荷がかかっている状態で攻撃されるのが一番危険です。cronの自動化も時間帯を見直すとか（昼間にする、手動に切り替える）など対策を考えてください。

再三、しつこいようですが、自宅サーバー初心者の方は、SSHはローカルだけの許可にしてください。
rootでログインはダメ・ゼッタイ。

Older Entries Newer Entries