Dos攻撃 – 　　　　　　　　　おやじdemo

このところサーバー自体には特別なソフトやサービスを導入した訳でもありませんし、httpdやメールなども普通に動いていますが、今まではlogを見る中心としてはメール関係のログでしたが、fail2ban、swatchの導入でお静になりました。

ところが最近、httpdに怪しい攻撃が来ている（チェックされている）様子がありました。

これは多分、wordpressの脆弱性のある部分を利用しようとしている攻撃です。
wordpressは最新のverにしていますので問題は無いかと思いますが、とりあえずapacheにDOS攻撃をされた場合の処理を追加しておきました。

モジュール、mod_evasiveを追加しました。

参考にさせて頂いたサイト→　http://ijo.cc/it/ja/server/apache_mod_evasive/
とても分かり易く説明がされていたのですぐに設定ができました。

毎日logwatchでサーバーの情報を見ていますが、Apacheへのポートに対して執拗にチェックをしてきている輩がいます。404表示に関しても修正をしておきました。

少し様子を見て、再度、調整をしたいと思っています。

メールのログや毎日root宛にシステムからメールで送られてくる情報からPOPに何度も何度もuser名を入れてくる輩（外国）があります。これは、はなからPOPを使う目的というよりDos攻撃のようにシステムダウンを引き起こすような攻撃です。

直ぐに、iptablesやdenyファイルを更新、3度以上認証が出来なかった場合には24時間使えなく（同じIP）をセットしました。何度も短い時間で認証をしている事は何かのソフトを使って攻撃しているようです。

サーバーには最低限、iptablesの設定（国内外）、SSHやFTPは私の場合には自宅内のLocal環境しか許可していません。外部から操作する場合でも、そのIPだけ許可をするようにした方が良さそうです。

Logは毎日送られて来る（root宛に）のはLogwatchというソフトをいれてあり、認証からメール、ウイルスソフトのデータ更新、ハードディスクの状況まですべてのサービス情報が分かりやすく書かれているので朝確認するのには非常に便利です。

最初にセキュリティは出来るところまでやっていて良かったと思っています。

おやじdemo_CentOSを使う