攻撃 – ページ 3 –          おやじdemo_CentOSを使う

日本語でブログは書いているのに(怪しい海外アクセス)

 Linux全般, 個人的な意見  No Responses »
11月 272013
 

このところブログにアクセスしてくれるのが日本だけではなく海外の国がとても多いです。
でも何かが怪しい!

と言うのが、日本語で書いているのに読める訳無いだろうと思うからです。
いくら海外に住んでいる日本人が見にくるとしても、こんなへなちょこブログには来ないはず。

====怪しいアクセスランキング====
1位はアメリカ
2位は中国
3位はカナダ
4位はフランス
==========================

やっぱ怪しいよね~。アメリカさんはMSの悪口書いていたからかな。まさかそんな事はないよね。

このブログがレンタルのさくらVPSなので、気にはしていませんが、他の人様に迷惑がかかるのが一番面倒だし、自分としては嫌な事です。多分、WordPressを使っていると、phpやら脆弱な部分を見つけてはしつこく攻撃してくる暇な方々がいるので、時々、レンタルサーバーでもアパッチのログを確認してみる必要性があるかも知れません。特にMacを使って攻撃してくる人がいますね。

自宅のサーバーではログの監視は毎日やっていますが、しつこいくらいに色々なURLを打ち込んでどんなエラーが出るのか確認をしているようです。ほとんどが404エラーで返していますが、中には200として、中が表示される物もあります。表示されても何も出来ませんが、ちょっとしたヒントを与える事にも繋がるので、こういうちょっとした行為を見逃さずに対処しなくてはなりません。

ApacheやPHP、SQL、Mail関係の表示はヴァージョンを全て隠すようにすべきです。ヴァージョンが分かると脆弱な部分が見えてしまうので、もしそのままであれば表示を隠すようにしてください。難しい対処もあれば簡単な対処もあるので、自分の出来る範疇で最大限努力してみましょう。出来ない場合には皆さんに聞いてみるのが一番かも。

このアクセス数字にはGoogleなどのbot(ロボット検索)なども含まれると思いますので、そんなに検索しなくてもいいよ。って思います。海外のbotに検索されても読めなければ意味がありません。中国のbotはしつこいよ~

今度の休日にはちょっとLogを調べ、対応をしようと思います。
皆さんのブログはどうなんでしょう。

Apacheのログを見たら~phpMyAdmin攻撃が・・

 Linux設定  No Responses »
11月 142013
 

自宅サーバーのATOMから毎日、logWatchのメールが届いています。
その中にこんな記述が・・・・・

Apache(httpd)のaccessログからの抜粋です。

85.17.155.196 – – [13/Nov/2013:17:54:47 +0900] “GET /w00tw00t.at.blackhats.romanian.anti
85.17.155.196 – – [13/Nov/2013:17:54:47 +0900] “GET /w00tw00t.at.blackhats.romanian.anti
85.17.155.196 – – [13/Nov/2013:17:54:48 +0900] “GET /admin/phpmyadmin/scripts/setup.php
85.17.155.196 – – [13/Nov/2013:17:54:48 +0900] “GET /admin/phpmyadmin/scripts/setup.php
85.17.155.196 – – [13/Nov/2013:17:54:49 +0900] “GET /admin/pma/scripts/setup.php
85.17.155.196 – – [13/Nov/2013:17:54:49 +0900] “GET /admin/pma/scripts/setup.php
85.17.155.196 – – [13/Nov/2013:17:54:50 +0900] “GET /admin/scripts/setup.php
85.17.155.196 – – [13/Nov/2013:17:54:50 +0900] “GET /admin/scripts/setup.php
85.17.155.196 – – [13/Nov/2013:17:55:03 +0900] “GET /MyAdmin/scripts/setup.php
85.17.155.196 – – [13/Nov/2013:17:55:04 +0900] “GET /mysql-admin/scripts/setup.php
85.17.155.196 – – [13/Nov/2013:17:55:09 +0900] “GET /phpmanager/scripts/setup.php
85.17.155.196 – – [13/Nov/2013:17:55:10 +0900] “GET /phpmyadmin1/scripts/setup.php
85.17.155.196 – – [13/Nov/2013:17:55:10 +0900] “GET /phpmyadmin1/scripts/setup.php
85.17.155.196 – – [13/Nov/2013:17:55:11 +0900] “GET /phpMyAdmin-2.2.3/scripts/setup.php
85.17.155.196 – – [13/Nov/2013:17:55:11 +0900] “GET /phpMyAdmin-2.2.3/scripts/setup.php
85.17.155.196 – – [13/Nov/2013:17:55:12 +0900] “GET /phpMyAdmin-2.2.6/scripts/setup.php
85.17.155.196 – – [13/Nov/2013:17:55:12 +0900] “GET /phpMyAdmin-2.2.6/scripts/setup.php

こんな感じでえらく長く続いています。
当方のATOMサーバーは404ですべてお返ししているので問題ありませんが、しつこい奴等です。
特にPhpMyAdminの攻撃がバージョン毎に行われています。
古いというかちょっと前のphpmyadminをお使いの方は注意が必要ですね。

mySQLはSSHで操作した方が安全です。

サーバーからの情報流出について

 個人的な意見  No Responses »
4月 242013
 

このところ色々な国のサーバーから情報流出の記事が多いですが・・・・。今日もありました。

以下Yahooの記事より・・・

宇宙航空研究開発機構(JAXA)は23日、国際宇宙ステーションの日本実験棟「きぼう」の情報が入ったコンピューターに何者かが侵入し、19件の情報が流出したと発表した。

 JAXAによると、流出したのは「きぼう」の電気系や冷却系、通信系の説明図のほか、運用に関わる職員やメーカーの社員らが業務連絡に使っているメーリングリストのメール、参加者のアドレスなど19件。

 JAXAが筑波宇宙センターのサーバーコンピューターの通信記録の定期確認をしたところ、17日深夜に不自然なIPアドレス(ネット上の住所)からアクセスされた跡が見つかった。職員のIDとパスワードが使われていた。どこかで漏れたらしい。

どうみても普通にサーバーを攻撃しているのではなく、ピンポイントで職員IDとパスワードを使い、表玄関より侵入しているということです。

これは、いくらサーバー管理者が裏口からのポートを閉じて、logで改竄など無いか管理をしていても、無くなるという事は無さそうです。というのも、表玄関から普通に職員IDとパスワードで侵入したという事はIDとパスワードが盗まれているからに他なりません。
これは、職員の方々のセキュリティに関する知識を向上させるしかありません。

推測ですが、外部からのメールに悪意のある添付ファイルでIDとパスワードが盗まれたという事ではないでしょうか。会社でもPCに疎い人が沢山いますが、きっと、このセンターにもそのような方がいらっしゃるのではないですかね。
分かっていても、知人、取引先などを語ったメールであれば開けてしまう恐れがありますが、中の文章でおかしい、怪しい、何言ってんだ?みたいな勘が働いて、添付ファイルを開く前に削除するのが基本かと思います。

それに、不自然なIPアドレスとありますが、不自然と思われるIP帯(お隣赤い国など)は初めから遮断しておけばいいんです。もしくは、使うIPだけ許可するように、面倒ですがしておけば良いと思います。パスワードもネットバンクのようにワンタイムの物にするとか対処はまだまだあるはずです。通信記録(system log)の定期確認って、毎日、サーバー管理者がやっているものかと思いましたが違うのですかね。定期って一週間に一度とか、1ヶ月に一度とかだったら意味ないですからね。直接的な攻撃は無くても、nmapで開いているポートを調べていたり、メールサーバーに一回だけアクセスしてみたりと、目立たない工作が事前にあると思います。

あとは、使用者側の意識が高くならないと、いつまで経っても、このような事故は起きる可能性が高いと思います。

 Older Entries  Newer Entries