Brute_Force_Attack – 　　　　　　　　　おやじdemo

Atomサーバーへの攻撃IPリスト

4月 082015

自宅のAtomサーバーのセキュアーな事を書きます。
CentOSサーバーですが、dovecotへの攻撃がとても多いです。
どこから匂いをかぎ分けて来るのか分かりませんが困った輩達です。

これは運用をしていれば、必ず攻撃があるものと認識をした上でiptablesやFail2banなどで防いでいますが、基本的にはIDとパスワードを頑丈な内容にするというのもとても大事かと思います。安易なtestとかinfoとかaccessなどはアウトです。

現在までの怪しい奴らを列記します。
サーバー運用している方は先回りしてdeny_ipのリストに仲間入りをさせてください。

★最近の攻撃元IP★
61.8.128.93
203.122.9.14
180.74.54.104
200.12.50.155
82.79.52.167
198.12.107.187
92.223.249.113
98.190.203.159
172.245.225.122
104.236.219.141
94.102.60.183
199.180.112.34
197.45.44.107
162.195.125.39

特に172.245.225.122はしつこいIPです。

回数にして84回のbrute_force_attackをしていました。

本当にdovecotにはFail2banは必要だと思います。

以下はAtomサーバーの#top画面です。

49 days, 15 min, 1 user, load average: 0.00, 0.00, 0.00
Tasks: 129 total,   1 running, 128 sleeping,   0 stopped,   0 zombie
Cpu(s): 0.0%us, 0.2%sy, 0.0%ni, 99.8%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
Mem:   3914548k total, 2384296k used, 1530252k free,   191576k buffers
Swap: 4095992k total,        0k used, 　4095992k free, 1280948k cached

今日で49日間連続で運用していますが、4GB搭載メモリで使用量が約2.4GBあります。
しかし、cacheとbuffersで1.3GBありますから、全然余裕があります。
SWAP領域はHDDに4GB空けてありますが、もちろん使用量は0です。

仕事が忙しくあまり相手にしない時でもSSHでアクセスすれば必ず応答してくれる。
攻撃も防いでいてくれて、メールで報告までしてくれる。

なんか、頼もしい部下のようなAtomサーバーです。

ATOMサーバーメンテナンスとPC余り部品サイト

ATOM鯖について No Responses »

2月 112015

超久しぶりに、家のATOM D510サーバーのメンテナンスを行ないました。

メンテナンスと言っても、埃掃除ではなく、今回はOS、セキュリティのチェックです。現在は、ホームページなど公開しているコンテンツが無かったので、httpdはサービスを停止させてありました。

そして、httpdのサービスを再起動して様子を見てみる事に・・・。
直ぐに、怪しいIPが来ますね～

◎405エラーでは・・・
mx0.mail2000.com.tw
mx2.mail2000.com.tw
mx3.mail2000.com.tw

◎404エラーでは・・・
phpMyAdmin/scripts/setup.php　を実行している輩がいます。
こいつのIPは　94.102.60.183　199.180.112.34　です。
どうせ乗っ取ったPCかサーバーからアクセスしていると思いますが・・・。

空いているポートを探しにくるステルススキャンを仕掛けてくる輩もいます。
portsentryを導入して、怪しいIPは遮断しなくてはなりません。
このportsentryは、ポートスキャンをされた場合にiptableでそのIPを遮断する仕組みです。
nmapと違ってログに残らないようにポートをチェックしてくるステルススキャンです。
本攻撃前のスパイ行為そのものなので、事前に攻撃の芽を潰しておきましょう。

そして、ID、パスワードなどの攻撃であるbrute_force_attackにも対処しておく必要があります。
これは以前に導入してあるので、動作の確認のみ行ないました。
ロクには、[HTTPログ監視] IPをブラックリストへ登録：3 回 [94.102.60.183]という形で残ります。
root宛にこんな形でメールがきます。

[HTTP]ログ監視にて、3回の不正なアクセスログを確認。
対象ホストのIPアドレスをiptables及びブラックリストファイルへ追加しました。
IPアドレス [199.180.112.34]

404エラーの怪しいIPはブラックリストの仲間入りでございます。

チェックを確認したところ、無事に動作しており一安心です。
OSのアップデートも済ませておきました。

現在、このサーバーで自宅にある中古PC部品の無料引渡所サイトを作っています。

3月までには、公開できそうなのでご期待ください。

久しぶりにATOMサーバーのセキュリティ設定

ATOM鯖について, Linux設定 No Responses »

12月 192013

今日は雪が降るといって降りませんでしたが、とても寒い一日でした。
場所によっては沢山降ったところもあるかと思います。一人でパソコンをやっている時には体を冷やさないように暖かい格好で作業しないと手が冷たくなったり、足元が冷えたりして血液の循環が悪くなって肩凝りをしたり、風邪を引いたりするので、皆さんもご注意ください。

前置きが長くなりましたが、久しぶりに家のATOMサーバー（CentOS-6.4 64bit）について書きたいと思います。

このところ、ちょこちょことセキュリティ面の強化をしていました。
と言うのが、アタック（攻撃）が毎日のようにあるからです。
メールサーバーだけではなく、Apache（httpd）、WordPressにもあります。

最近の攻撃スタイルとしては、WP（WordPressの略）のURLに対してcgi-binやらPHPやらの長いアドレスを付けてエラー表示をさせて、Apacheのヴァージョンを調べたり、Apacheの設定に隙が無いか確認をしつこい程行ってきます。WPもヴァージョンが新しくなりましたから脆弱なところは今のところありませんが、ファイルの属性（パーミッション）等には注意が必要です。

メールサーバーについては、SMTPの認証に、Brute_Force_Attackという形で色々なIDとパスワードを総当りでぶつけてきます。これは以前からやってきていますが、無駄にサーバーのリソースを使われるのが悔しいので対処方法を考えていました。

Apache（httpd）については、DoS攻撃対策用に、mod_evasiveの設定をしたありましたが、その他にも、mod_securityを導入しました。このmod_securityはルールを設定して、そのルール外の要求に対してブロックをしてくれます。httpdのiptableみたいな感じです。導入する事によってパフォーマンスの低下は仕方ないところですが、何か対処しなくては、と思っているサーバーオーナーの方は、調べて導入してみることをお勧めします。

特に私が感動してしまったシェルがあります。

sshd
vsftpd
Postfix+Dovecot
Apache

このCentOSの標準装備のサービスに対して、各logからエラー表示を抜き取り、自動的にその攻撃してくるIPをdeny扱い（遮断）してくれて、その結果をメールで通知してくれる、とても有難いものです。

Brute Force Attack対策+α 　で見てください。

CentOS-5、CentOS-6に対応してあって、内容がとても分かり易く、効果抜群です。
作者のry.tl様、ネットでの提供ありがとうございます。

何度も同じIPからの攻撃で悩んでいる方は是非とも検討して欲しいと思います。

ちなみにIPが遮断されると・・・・・・

[HTTP]ログ監視にて、5回の不正なアクセスログを確認。
対象ホストのIPアドレスをiptables及びブラックリストファイルへ追加しました。

IPアドレス [81.143.170.220]

[MAIL]ログ監視にて、5回の不正なアクセスログを確認。
対象ホストのIPアドレスをiptables及びブラックリストファイルへ追加しました。

IPアドレス [195.70.7.165]

というようなメールが設定されたアドレスに届きます。この設定では５回同じエラーを確認すると遮断するように設定がされているので、丁度、５回目にdeny_IPとなった訳です。上がhttpdで下がpostfixです。

何しろ、今まで手作業でdeny_IPをしていましたが、自動的にcronでログをチェックしてくれて、ブラックリストに自動的に書き込んだ上に遮断してくれる有難いものです。

毎日、どんな奴等がブラックリストになっているか、ログを見る楽しさもあります。
攻撃されないのが一番ですが、それはあり得ないし、個人的に管理しているサーバーであれば、セキュリティ面においては、気を配って欲しいと思っています。

このような良いソフトに出会えて良かった。