- ベストアンサー
つい先程、吐かれた不明なTL6.1Jからのメッセージ??
タイトル通りなのですが、下記のエラーが出ました。これは何でしょう?? ハッカー?が進入を試みている? Security Violations =-=-=-=-=-=-=-=-=-= Jul 9 09:33:51 ns ipop3d[10850]: warning: /etc/hosts.allow, line 9: can't verify hostname: gethostbyname(osstst05) failed Jul 9 09:33:51 ns ipop3d[10850]: refused connect from 216.236.229.xxx Unusual System Events =-=-=-=-=-=-=-=-=-=-= Jul 9 09:33:51 ns ipop3d[10850]: warning: /etc/hosts.allow, line 9: can't verify hostname: gethostbyname(osstst05) failed
- その他(OS)
- 回答数5
- ありがとう数4
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
補足です。 >第三者からのものを全て拒否している定義を使用しています。今の場合は知らない>アドレスで第三者のものです。 であれば、 refused connect from 216.236.229.xxx は正常に動作したログということになりますね。 TCP WRAPPERでルールにより接続を拒否した場合は、ログに残ります。 >接続サービスを見つけPOP3から進入を試みているのでしょうか?telnet,ftpは全 >部止めています。唯一メールサーバーですので、このサービスのみ起動しておりま>すが・・。 というよりは、madmanさんが書かれていますように、 誰かがそのサーバーにメール受信しようとしただけのことかもしれません。 あるいは、誰かが無作為にポートスキャンを試みているか・・・ ネットに接続している以上、そういうことは多かれ少なかれあります・・・ 何にせよ、サーバーはポリシー通り動作しているようなので、 問題ないのでは? >また、私にでも他のサーバーへ同様なエラーを吐かせることが可能なのでしょう >か?海外と推測しておりますが・・。 そのサーバーが同様にPOP接続を拒否していて、 あなたがメーラーの受信サーバー設定をそこに指定すれば そういうことになると思います。拒否したというログが残るだけですが。 ただ、他のサーバへの負荷が増す場合もありますので、しないでください。
その他の回答 (4)
- madman
- ベストアンサー率24% (612/2465)
企業のサーバーでしょうか? 社員の方が、そのアドレスのフリーメールか何かから、pop3にアクセスしようとしている事は無いでしょうか?
お礼
madmanさん、アドバイスありがとうございます。 説明不足で申し訳ありません。企業サーバーです。 >社員の方が、そのアドレスのフリーメールか何かから、pop3にアクセスしようとしている事は無いでしょうか? これについては、判りません。簡単に判定する方法があれば教えてください。 まずは、お礼まで。
- yuzuru22
- ベストアンサー率50% (2/4)
ログを見る限り、216.236.229.xxx の端末から そちらのTL6.1Jへメール受信(pop3接続)をしようとしたが、 hosts.allowでのチェック中に名前解決がうまくできなかったため、 警告を出したということだと思います。 ちなみに、hosts.allowで通信が認められなかったため 上記接続は切断されています。 TL6.1では、標準でTCP WRAPPERを利用するように設定されています。 これは、セキュリティのためのソフトで、 /etc/hosts.allowに書かれている通信を許可し, /etc/hosts.denyに書かれた通信を拒否するようになっています. で、見てみないとわかりませんが、その/etc/hosts.allow ファイルに変な記述があり、その部分の名前解決ができなかった ということのようです。
お礼
yuzuru22さん、回答ありがとうございました。 >hosts.allowで通信が認められなかったため上記接続は切断されています。 第三者からのものを全て拒否している定義を使用しています。今の場合は知らないアドレスで第三者のものです。 接続サービスを見つけPOP3から進入を試みているのでしょうか?telnet,ftpは全部止めています。唯一メールサーバーですので、このサービスのみ起動しておりますが・・。また、私にでも他のサーバーへ同様なエラーを吐かせることが可能なのでしょうか?海外と推測しておりますが・・。
- kusukusu
- ベストアンサー率38% (141/363)
補足です。 >Jul 9 09:33:51 ns ipop3d[10850]: refused connect from 216.236.229.xxx はPOP(メールのダウンロード)を拒否していますが、これは、IPアドレスで、相手がPOP要求を出す、妥当なユーザーかどうか判断してください。 もし、不正な第三者だった場合は、それは少しも台ですが、今回は挙止しているから大丈夫だと思います。 ただ、度々このエラーログが出るのであれば、IPアドレスから、ホストを割り出し、管理者に講義メールくらいは、出しても良いかもしれません。
お礼
kusukusuさん、アドバイスありがとうございます。 >不正な第三者だった場合 全くこの場合です。 このアドレスに接続しようとしても、”見つかりません”となります。 >IPアドレスから、ホストを割り出し、管理者に講義メールくらいは、出しても良いかもしれません。 国内でなく海外のようです。 ありがとうございました。
- kusukusu
- ベストアンサー率38% (141/363)
DNS逆引きが出来ませんでしたというエラーログです。 問題ありません。
関連するQ&A
- Syslog内の不明なwarningについて
お世話になっております。 /var/log/messages内に頻繁に出力されるPriorityがwarning: の以下メッセージについて、 原因と(必要であれば)対処方法をご教示頂けないでしょうか? 環境) ・OS: RedHat Enterprise Linux 5.4 ・syslogデーモン設定はデフォルト設定(カスタマイズなし) 何卒、宜しくお願いします。 Dec 4 02:12:44 ホスト名 in.tftpd[18025]: warning: /etc/hosts.allow, line 7: missing ":" separator Dec 4 02:12:44 ホスト名 in.tftpd[18025]: warning: /etc/hosts.allow, line 8: missing ":" separator Dec 4 02:12:44 ホスト名 in.tftpd[18025]: warning: /etc/hosts.allow, line 10: missing ":" separator Dec 4 02:12:44 ホスト名 in.tftpd[18025]: warning: /etc/hosts.allow, line 11: missing ":" separator Dec 4 02:12:44 ホスト名 in.tftpd[18025]: warning: /etc/hosts.allow, line 13: missing ":" separator
- ベストアンサー
- Linux系OS
- xinetd を使う場合の hosts.allow/hosts.deny
サーバ:CentOS 4.4 xinetd を使ってアクセスコントロールをしようとしています。 /etc/xinetd.d/サービス名 でサービス毎の設定が出来ますが、その中で(only_fromを使って)制御しようとしていますが、その際に /etc/hosts.allow と /etc/hosts.deny はどうなるのでしょうか。これらのファイルを削除して、xinetd の設定ファイルのみでアクセス制御するにしても、xinetd を通さないデーモンが直接 hosts.allow と hosts.deny を参照しようとする場合もありそうで怖そうです。 かといって xinetd と hosts.allow,hosts.deny の両方でアクセス制御するのもわかりにくくなりそうですし。 何かスマートなやり方というものはあるのでしょうか。
- 締切済み
- Linux系OS
- /etc/xinetd.d/と/etc/hosts.allow
環境はTBL7.0Serverです /etc/xinetd.d/と/etc/hosts.allowについてなんですが、基本的には/etc/xinetd.d/の直下のファイルでアクセス制御すればいいと思うのですが、/etc/hosts.allowでもサービスを許可してやらないとつかえません。 この2段階でアクセス制御するのは、標準的なやり方なんですか?管理上煩雑なので、できれば/etc/xinetd.d/以下の各サービスのファイルのみでアクセス制御したいのですがみなさんどうしています。
- ベストアンサー
- その他(OS)
- メールサーバのログにConnection reset by peerとあったのですが、何が起こったのでしょうか。
RHL9.0でpostfixを用いてメールサーバーを運営しています。特に何もユーザー情報をいじったわけでもないのにユーザーtaroが急にログインできなくなりました。もちろん、taroもそれまで用いていたパスワードを使用しています。ログには以下のように認証で拒絶されている旨あったのですが、これまで、見たことのないConnection reset by peerという一文があります。 この"peer"とはどのような働きをするものでしょうか。また、今回のような問題で何か考えられる原因がありますでしょうか。 Jul 14 13:27:22 orion pop(pam_unix)[14964]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=taro Jul 14 13:27:24 orion ipop3d[14964]: Login failed user=taro auth=taro host=[xxx.xxx.xxx.xxx] Jul 14 13:27:27 orion ipop3d[14964]: Connection reset by peer while reading line user=taro host=[xxx.xxx.xxx.xxx]
- 締切済み
- Linux系OS
- 先程、吐かれたTL6.1Jからのメッセージ2??
下記のメッセージが現れてきました。特にNOQUEUEとは何なんですか??? 昨日も同様な質問をしましたが、最近あちこちからハッキングの探りが入っているように思えます。このままにしておいて、構わないものでしょうか?? 企業に設置してあるメールサーバーですが、どこでもこのようなものでしょうか?。私どもだけなのでしょうか?対策があればなお良いですが・・。 Unusual System Events =-=-=-=-=-=-=-=-=-=-= Jul 10 01:26:00 ns sendmail[12422]: NOQUEUE: Null connection from 216-53-218-2xx.ppp.mp○net.net [216.53.218.2xx]
- ベストアンサー
- その他(OS)
- hosts.allowとhosts.denyについて
centos5を利用しています。 /var/log/btmpファイルが200M、/var/log/secureファイルも20Mにもなっていました。 恥ずかしながら初めて中身をチェックしたのですが、SSHログインの失敗履歴のようでした。 このような場合の対処法をお聞きしたいのですが、 1. hosts.allowとhosts.denyを設定すればこの手のアタックは防げるのでしょうか? 2. hosts.allowとhosts.denyを設定後、/etc/rc.d/init.d/sshd restart でSSHを再起動したのですが、これで反映されたのでしょうか? 3. btmpファイルは削除しても問題ないでしょうか?削除する際に注意点などありましたらあわせて教えて頂けると幸いです。
- ベストアンサー
- Linux系OS
- nslookupで、server can't findエラーが出ます
既存のネットワークに、新しくサーバーマシンを追加しました。 /etc/netmasks /etc/defaultrouter /etc/hosts /etc/nodename /etc/hostname.xxxx /etc/resolv.conf /etc/nsswitch.conf(hostsの部分には、files dns) を新しく追加するサーバーマシンに作成しました。 しかし、別のマシンからnslookupで、追加したマシンのIPあるいは ホスト名を入力しても、server can't findエラーが出てしまいます。何故なのでしょうか? きちんとresolv.confを追加サーバーマシンに作成しているのに。 それとも、ネットワーク内にあるDNSサーバーに何か設定か登録をしなければならないのでしょうか? その場合、DNSサーバーのどの設定ファイルに、新しく追加したサーバーマシンの情報を記述しなければならないのでしょうか?
- ベストアンサー
- その他([技術者向] コンピューター)
- Linuxでホスト名が変更できず、戻ってしまいます
Linuxでホスト名が変更できず、戻ってしまいます なお、CentOS5,で、Cシェルです。 www.example.com=>example.com にしたいと思っています。 (なお、$HOST,$HOSTNAME,&その他?、DNSを) #vi /etc/hosts 127.0.0.1 example.com localhost.localdomain localhost #vi /etc/sysconfig/network NETWORKING=yes HOSTNAME=example.com GATEWAY=192.168.0.1 #/etc/rc.d/init.d/network restart をやり、また、 #less /etc/named.conf の結果はいかの通り。 ######################################################### options { directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default. */ // query-source address * port 53; }; // // a caching only nameserver config // controls { inet 127.0.0.1 allow { localhost; } keys { rndckey; }; }; zone "." IN { type hint; file "named.ca"; }; zone "localdomain" IN { type master; file "localdomain.zone"; allow-update { none; }; : zone "0.0.127.in-addr.arpa" IN { type master; file "named.local"; allow-update { none; }; }; zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { type master; file "named.ip6.local"; allow-update { none; }; }; : ######################################################### であり、各ゾーンファイルをみても、example という文字はナシ。 またPTR の記述は、 ########################################################## $ vi /var/named/chroot/var/named/named.local $TTL 86400 @ IN SOA localhost. root.localhost. ( 1997022703 28800 14400 3600000 86400 ) IN NS localhost. 1 IN PTR localhost. ###########################################################3 のみ、 で、一応#/etc/rc.d/init.d/named reloadをして、 #shutdown -r now して、再ログインすると、 で、 すべて(/etc/hosts,/etc/sysconfig/network,環境変数も) ももとにも戻っています。
- ベストアンサー
- Linux系OS
- ssh ホスト名接続方法
いつもお世話になってます。 標題についてご教授願えますでしょうか。 クライアント(windows7) に VMware と ubuntu を入れました。 ubuntu のデフォルトhogeです。 ホスト名はhoge-pcです ※hoge@hoge-pc 最初は上記ホストとユーザでauthorized_key等を作って、 クライアント側でIPアドレスで鍵認証させました。 しかし、名前解決したいと思い、 ホスト名をfooに変更して、 /etc/hostnameと/etc/hostsを変更しました。 しかしながら、クライアントからTera TarmでIPで接続すると問題にですが、 ホスト名で接続できません。 何か他にやるべき事があるのでしょうか。 [/etc/hosts] xxx.xxx.xxx.xxx foo [/etc/hostname] hoge ⇒ foo もちろん/etc/init.d/networking restartやubuntuの再起動もやっております。 宜しくお願いします。
- ベストアンサー
- Linux系OS
- お願いします。
CakePHP1.2で開発しております。 ユーザ登録をする処理でローカルではうまくいっていたんですが、本サーバで動作の確認をすると、DBに登録する際に次のようなWarningが出てしまい、登録ができません。 $this->User->save()の箇所で弾かれてしまいます。 Warning (2): Unknown: open(/var/lib/php/session/sess_in2e3u6bfrvq8c8orrkf82n516, O_RDWR) failed: Permission denied (13) [Unknown, line ??] Warning (2): Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/var/lib/php/session) [Unknown, line ??] これはファイルのパーミッションが問題なのでしょうか。 時間がなくてテンパってしまってます。 宜しくお願いします。
- 締切済み
- PHP
お礼
再度、書き込みありがとうございました。 >誰かが無作為にポートスキャンを試みているか・・・ これは、何だかありえます納得できますね。 >問題ないのでは? 問題ないのであれば安心しますが。 状況が変わり質問する場合があったら懲りずに回答ください。では。