色々とニュースではサイトへの攻撃や侵入が後を絶ちませんが、自宅でサーバーを運用されている人もddos攻撃やwordpressへの攻撃でlogを見る度に嫌な思いをしているのではないでしょうか。
攻撃してくる奴等は、自然とどこからかサーバーの在り処を調べてきます。
サーバーを立ち上げても1週間しない内に攻撃が始まったりします。
少し前に記事として、Dovecotやpostfixなどのメールサーバーの認証攻撃とhttpdのcgi-binやPHP等への攻撃が特に多く、一時的にはNTPサーバーへの攻撃がありました。私の家のサーバー環境は、サービスとして、Mail,FTP,SSH,httpdを立ち上げていますが、SSHとFTPはlocalnetのみしか接続出来ないように設定しています。(外部からアクセスして何かをするという事が無いので)Mailとhttpdはルーターでポートを開放してあり、サーバーのIPに繋がっています。
先ず、攻撃の多かったmailサーバーについては、ルーターのポートを閉じました。
元々サーバーからのメール(logwatchなど)を受信するものとして使用していたので、localだけで充分でした。外部とのやり取りはレンタルサーバーのメールアカウントが沢山あるので、こちらを使用するようにしました。そうするとポート25番、110番が閉じる事が出来ます。現在開放してあるポートはhttpdの80番のみです。
そして、このhttpdへの攻撃については、htaccessファイルを見直して、deny from allを基本とし、localを許可、jpを許可、その他google,bingのbot関係のIPを許可する事にしました。という事は日本国以外からのアクセスを遮断しているという事です。日本語で書いているブログですので海外からアクセスをして見る人もいないでしょうし、逆にこちらの方が安心という感じでしょうか。
そしてcgi-binについては、httpd.confで同じく<cgi-bin>の箇所をdeny fron all とし、localとjpだけ許可をしました。元々、このフォルダーは使用していないので、localだけ許可でもOKなのですが。こうするとネット上からcgi-binにアクセスしようとしても入れません。
以上の3点を見直す事によって、攻撃はほとんど無くなりました。
そして、攻撃が無くなった分、サーバーも身軽になったようで動作も速くなりました。後は、updateやcronの自動化を停止させて、時間がある時に手動で行う事にしました。こちらについては毎日、SSHでアクセスしてサーバーの状態を確認するのが日課となっているので全くもって問題ありません。
攻撃が酷くて困っている人、一度環境を見直してみてはいかがでしょうか。