超久しぶりに、家のATOM D510サーバーのメンテナンスを行ないました。
メンテナンスと言っても、埃掃除ではなく、今回はOS、セキュリティのチェックです。現在は、ホームページなど公開しているコンテンツが無かったので、httpdはサービスを停止させてありました。
そして、httpdのサービスを再起動して様子を見てみる事に・・・。
直ぐに、怪しいIPが来ますね~
◎405エラーでは・・・
mx0.mail2000.com.tw
mx2.mail2000.com.tw
mx3.mail2000.com.tw
◎404エラーでは・・・
phpMyAdmin/scripts/setup.php を実行している輩がいます。
こいつのIPは 94.102.60.183 199.180.112.34 です。
どうせ乗っ取ったPCかサーバーからアクセスしていると思いますが・・・。
空いているポートを探しにくるステルススキャンを仕掛けてくる輩もいます。
portsentryを導入して、怪しいIPは遮断しなくてはなりません。
このportsentryは、ポートスキャンをされた場合にiptableでそのIPを遮断する仕組みです。
nmapと違ってログに残らないようにポートをチェックしてくるステルススキャンです。
本攻撃前のスパイ行為そのものなので、事前に攻撃の芽を潰しておきましょう。
そして、ID、パスワードなどの攻撃であるbrute_force_attackにも対処しておく必要があります。
これは以前に導入してあるので、動作の確認のみ行ないました。
ロクには、[HTTPログ監視] IPをブラックリストへ登録:3 回 [94.102.60.183]という形で残ります。
root宛にこんな形でメールがきます。
[HTTP]ログ監視にて、3回の不正なアクセスログを確認。
対象ホストのIPアドレスをiptables及びブラックリストファイルへ追加しました。
IPアドレス [199.180.112.34]
404エラーの怪しいIPはブラックリストの仲間入りでございます。
チェックを確認したところ、無事に動作しており一安心です。
OSのアップデートも済ませておきました。
現在、このサーバーで自宅にある中古PC部品の無料引渡所サイトを作っています。
3月までには、公開できそうなのでご期待ください。