DDos –          おやじdemo_CentOSを使う

【鯖】海外からのアクセスが多いので注意して下さい!

 Linux全般  No Responses »
5月 142014
 

久しぶりのLinuxサーバーの話です・・・・。

このブログもwordpressを使用しています。
海外からのアクセスも無い訳ではありませんでしたが、この1.2週間は特に米や中、仏の国々からのアクセスが非常に多くなってきています。logを見るとwordpressへのPHP攻撃やCGIへのアクセスをしようとしているのが分かります。

ここはsakuraのレンタルサーバーですが、ここにも沢山海外からのお客様がいらっしゃっています。少し前までは、あまり来なかったのですが、先週あたりから異常に多い。

特に自宅サーバーを含め侵入された気配はありませんが、これだけ多くの海外アクセスが増えてくるとサーバーのパフォーマンスが低下してしまいます。下らない事にリソースを使いたくないですよね。

うぅ~海外からのアクセス全てを遮断したい。

だいたい日本語でしか書いてないのに、何で見にくるの?と思いたくなります。最近は翻訳ソフトも充実しているので翻訳して読んでくれれば有難いですが、まさかそんな訳ありません。

日本人向けに配信しているサイトは日本国だけ許可されていれば充分ですよね。
下手に色々な国を許可していてもロクな事ありません。

SSHやFTPなど自宅サーバーを外部からも許可しているのであれば、iptableの設定やパスワードを難しい内容に切り替える等の対処をしておいた方が良さそうです。メールサーバー(dovecot)等は、総当たり攻撃されたりするので、少しでも攻撃の気配がありそうなら、サービスを停止させ、ポートを閉じてしまうのもありかと思います。

今は世界的にも色々な場所で紛争が起きているのはご承知の通りかと思います。
そういう社会背景とこのインターネットの攻撃と比例している事もあります。特に近隣国が日本に対して良く思っていない、なにかに付けて攻撃したいという悪の感情をもった輩が沢山いるので、性善説で物事を考える訳にはいきません。

自分の組み立てた自宅サーバーが悪の手先となり、ダークなお仕事の手伝いをしていたなんて洒落になりません。ここは皆さん、注意を払って運用して下さい。

夜中は、ルーターでポートを閉じてしまうという手もあります。
logのチェックを怠らないようにお願いします。

自宅サーバー(ATOM)への攻撃が静かに・・。

 Linux設定  No Responses »
3月 022014
 

色々とニュースではサイトへの攻撃や侵入が後を絶ちませんが、自宅でサーバーを運用されている人もddos攻撃やwordpressへの攻撃でlogを見る度に嫌な思いをしているのではないでしょうか。

攻撃してくる奴等は、自然とどこからかサーバーの在り処を調べてきます。
サーバーを立ち上げても1週間しない内に攻撃が始まったりします。

少し前に記事として、Dovecotやpostfixなどのメールサーバーの認証攻撃とhttpdのcgi-binやPHP等への攻撃が特に多く、一時的にはNTPサーバーへの攻撃がありました。私の家のサーバー環境は、サービスとして、Mail,FTP,SSH,httpdを立ち上げていますが、SSHとFTPはlocalnetのみしか接続出来ないように設定しています。(外部からアクセスして何かをするという事が無いので)Mailとhttpdはルーターでポートを開放してあり、サーバーのIPに繋がっています。

先ず、攻撃の多かったmailサーバーについては、ルーターのポートを閉じました。
元々サーバーからのメール(logwatchなど)を受信するものとして使用していたので、localだけで充分でした。外部とのやり取りはレンタルサーバーのメールアカウントが沢山あるので、こちらを使用するようにしました。そうするとポート25番、110番が閉じる事が出来ます。現在開放してあるポートはhttpdの80番のみです。

そして、このhttpdへの攻撃については、htaccessファイルを見直して、deny from allを基本とし、localを許可、jpを許可、その他google,bingのbot関係のIPを許可する事にしました。という事は日本国以外からのアクセスを遮断しているという事です。日本語で書いているブログですので海外からアクセスをして見る人もいないでしょうし、逆にこちらの方が安心という感じでしょうか。

そしてcgi-binについては、httpd.confで同じく<cgi-bin>の箇所をdeny fron all とし、localとjpだけ許可をしました。元々、このフォルダーは使用していないので、localだけ許可でもOKなのですが。こうするとネット上からcgi-binにアクセスしようとしても入れません。

以上の3点を見直す事によって、攻撃はほとんど無くなりました。
そして、攻撃が無くなった分、サーバーも身軽になったようで動作も速くなりました。後は、updateやcronの自動化を停止させて、時間がある時に手動で行う事にしました。こちらについては毎日、SSHでアクセスしてサーバーの状態を確認するのが日課となっているので全くもって問題ありません。

攻撃が酷くて困っている人、一度環境を見直してみてはいかがでしょうか。

自宅サーバーの管理と外部からの攻撃について

 Linux設定, 個人的な意見  No Responses »
1月 302014
 

花粉が飛び始めました。特に関東圏については飛散が1週間昨年よりも早いとの事です。
仕事先でもくしゃみや鼻水全開で集中力が無くなります。
早めに処置をしようと思います。

さて、今回はサーバーの攻撃について書きたいと思います。
というのが、ちょっと前の投稿で攻撃についての記事を書きましたが、この2.3か月にサーバーのhttpdやNTP、そしてdovecotなどのサービスに毎日のようにしつこい攻撃跡がlogに残されています。

その対応として、攻撃先のIPを遮断したり、エラーログから自動的に該当するIPを停止させていますが、それでも攻撃が無くなりません。

毎日のようにメールで止めたIPの報告が自動的に上がってきます。

仕事が忙しい人はサーバーのlogをゆっくり見るという行為が出来ないので心配な面が多々あると思います。攻撃を受けても、サーバーが遮断、httpdであれば404で返すという一連の仕事をサーバーがこなしてくれている分には心配ありませんが、自分の知らないソフトの脆弱性や攻撃を仕掛けてくる連中の「これがダメなら、違うやり方で突破する」という考え方があるので、そのまま放置という訳にもいきません。

事前に怪しいIPはdenyIPにすべきです。

私の場合にはSSHはローカルのみでしか使えないように設定してありますが、外部から操作出来るように設定をされている方は、安易なIDやパスワードは止めて、合鍵を作るかなどの方策を取った方が良いと思います。一度突破されてしまうと裏口を作られてしまい、いつでも侵入を許す事にもなりかねます。

また、不要なサービスを停止させる事も忘れないでください。

結構な量のIPアドレスをdenyにしていますが、それでも攻撃があるという事は、その分の量が乗っ取られているという風にも考えられます。特にIPアドレスが連続しているものは、企業のIPアドレスなど使用しているように思えます。

◎個人サーバー=個人の責任
◎企業サーバー=会社(部署)の責任?

企業と言っても、大きな企業から中小企業まで存在しています。
その中でも社内にシステム部門や情報管理部門が無い企業のサーバーが狙われていると思います。

◎システム(情報部門)が無い=誰かが兼任で時間の空いている時に作業している

こんな構図になると思います。
そうなると、サーバーの日々の内容やlogなど誰が責任をもって管理しているかが曖昧になってしまい、もし問題が起きても最悪気が付かない、気が付いた時点でもう乗っ取られた後という最悪のシナリオが待っています。このような企業のIPがこのような攻撃IPに活用されてしまっているのが多いと考えます。問題点は経営者がPCの知識やセキュリティ面について投資をするつもりもないし、理解度が低いという事もあるかと思います。

「そんな企業のサーバーだから乗っ取られても当然の結果だろ」

と感じる人も多いと思いますが、兼任で管理させられていても、最低限やるべきことはやっておく、それが出来ないなら、一時的にも外部の技術者に依頼をして、攻撃されても遮断されるような機能を追加しておくべきです。後々、IPがブラックになっている事実が分かってからでは遅いですからね。最悪はネットバンクのIDやパスワードを盗んだりするような犯罪に使われる可能性だってある訳です。

我々が趣味として運用しているサーバーもきちんとした管理をしなくてはなりません。
本当にセキュアーな面が不安な人は外部との接続を停止して、その間、自分なりにファイヤーウォールを作ってから接続をするという方式も検討すべきではないかと思います。

 Older Entries