• ベストアンサー

不正アクセス対処法

最近、頻繁に下記のようにアクセスされています。 相手は何かツールを使っているのでしょうか? 効果的な対処法を教えてください。 - SSHD Begin ------------------------ Failed logins from these: adm/password from ***.***.***.***: 2 Time(s) apache/password from ***.***.***.***: 1 Time(s) nobody/password from ***.***.***.***: 1 Time(s) operator/password from ***.***.***.***: 1 Time(s) root/password from ***.***.***.***: 59 Time(s) root/password from ***.**.***.**: 3 Time(s) root/password from **.***.***.***: 3 Time(s) **Unmatched Entries** Illegal user test from **.***.***.*** Illegal user guest from **.***.***.*** Illegal user admin from **.***.***.*** Illegal user admin from **.***.***.*** Illegal user user from **.***.***.*** Illegal user test from **.***.***.*** Illegal user patrick from ***.***.***.*** Illegal user patrick from ***.***.***.*** Illegal user rolo from ***.***.***.*** Illegal user iceuser from ***.***.***.*** Illegal user horde from ***.***.***.*** Illegal user cyrus from ***.***.***.*** Illegal user www from ***.***.***.***        .        .        . - SSHD End -------------------------

質問者が選んだベストアンサー

  • ベストアンサー
  • xjd
  • ベストアンサー率63% (1021/1612)
回答No.1

>相手は何かツールを使っているのでしょうか? パスワードやアカウントが何万件も登録された辞書ファイルを利用した、 クラッキングのツールなどいくらでも入手で出来ます。 >効果的な対処法を教えてください。 肝心なOSの種類が書かれていないので教えようもありませんが、linuxであれば、 tcpwrapper/iptablesで接続元を指定して拒否・許可できます。 sshd : 192.168.0.0/255.255.255.248 192.168.10.0/255.255.255.0 iptables -A INPUT -i eth0 -p tcp -m state --state NEW -s $TRUSTWAN --dport $SSHD -j ACCEPT また、sshdなのにパスワード認証しているのであれば意味がありません。 公開鍵認証方式にしましょう。 いずれにせよ、サーバを公開して悩む前に、セキュリティの技術を身につけるのが先でしょう。

その他の回答 (1)

  • siisise
  • ベストアンサー率0% (0/2)
回答No.2

ウイルスやワームが感染したPCを使ってアクセスしてきているという場合も多いです。 韓国とか中国とか・・・アクセスもとが海外ならIPでフィルタしてしまうのがいいのでしょうね。 国内なら、アクセスしてきたプロバイダを調べて、連絡を入れるのがよいです。ウイルスに感染している場合など、何度でも繰り返してきますから。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • 不正アクセスの処理について

     サーバーのログに以下のようなものが頻繁に来ます。 Received disconnect: 11: Bye Bye : 98 Time(s) **Unmatched Entries** pam_succeed_if(sshd:auth): error retrieving information about user eaguilar pam_succeed_if(sshd:auth): error retrieving information about user staff pam_succeed_if(sshd:auth): error retrieving information about user sales pam_succeed_if(sshd:auth): error retrieving information about user recruit …  sshは使っていないので問題はないのです。が、あまりに大量のログができてしまうので、一応攻撃を拒否しようと思っているのですが、これらのアクセス元のIPはどうやったらわかるでしょうか?(殆ど外国からの攻撃です。)  IPやホスト名がわかればhostsのdenyに登録してしまおうと思っています。  OSはLinuxのFC5です。  また、何か別のよい方法があればおしえて頂けると幸いです。よろしくお願いします。

  • SSHをLDAPで認証

    SSHをLDAPを使って認証させたいのですが、上手くいきません・・・ /etc/passwdに登録してあるユーザはログイン可能なのですが、LDAPに登録してあるユーザではログインできません。以下、ログイン不能時のログです。 ※LDAPのログには、何も記述されていないので、そもそもSSHからLDAPサーバにアクセスできていないように思うのです。しかしながら、どうして良いか全く分からないため、皆様の知恵をお借りしたく。 --------log--------- Illegal user test from 127.0.0.1 May 11 10:13:07 Proxy sshd[23596]: PAM unable to dlopen(/lib/security/pam_ldap.so) May 11 10:13:07 Proxy sshd[23596]: PAM [dlerror: /lib/security/pam_ldap.so: undefined symbol: ber_pvt_opt_on] May 11 10:13:07 Proxy sshd[23596]: PAM adding faulty module: /lib/security/pam_ldap.so May 11 10:13:36 Proxy sshd[23596]: Failed password for illegal user test from 127.0.0.1 port 35168 ssh2 --------------------- /etc/pam.d/sshdに関しては、pam_ldapのソース内にあったものをそのまま流用しています。 ■基本情報 OS:Redhat 2.4.21-4.EL openldap-2.3.21 pam_ldap-182 nss_ldap-250 LDAPクライアント、サーバとも同一サーバ。

  • Logwatchの解釈

    Logwatchの見方でわからない点が4つあります。 何を表しているのでしょうか? (1) --------------------- Kernel Begin ------------------------ WARNING: Kernel Errors Present VFS: Error -5 occured while ...: 3 Time(s) ---------------------- Kernel End ------------------------- (2) --------------------- Named Begin ------------------------ 以下、IPとドメインは伏せています。 Zone update refused: xxx.xxx.xxx.xxx (example.com /IN): 1 Time(s) **Unmatched Entries** zone example1.com/IN: refresh: retry limit for master xxx.xxx.xxx.101#53 exceeded: 5 Time(s) zone example2.com/IN: refresh: unexpected rcode (SERVFAIL) from master xxx.xxx.xxx.xxx#53: 4 Time(s) ---------------------- Named End ------------------------- (3) --------------------- sendmail Begin ------------------------ Ruleset violations: Mail rejected due to possible SPAM: 154 Time(s) **Unmatched Entries** Dropped invalid comments from header address: 1 Time(s) SMTP SESSION, MESSAGE, OR RECIPIENT ERRORS ------------------------------------------ WARNING!!!! Possible Attack: Attempt from 82-39-21-129.cable.ubr03.gate.blueyonder.co.uk with: newline in string "orler^M ": 1 Time(s) Total: 1 Time(s) SEVERE ERRORS ------------- System Error Messages: mail.toostupidtobepresident.com. config error: mail loops back to me (MX problem?): 1 Time(s) Total SEVERE ERRORS: 1 **Unmatched Entries** Dropped invalid comments from header address: 1 Time(s) ---------------------- sendmail End ------------------------- (4) --------------------- ipop3d Begin ------------------------ **Unmatched Entries** Mailbox is open by another process, access is readonly: 14 Time(s) Expunge ignored on readonly mailbox: 14 Time(s) Discarding bogus X-uId header in message 1: 3 Time(s) Discarding bogus X-uId header in message 9: 2 Time(s) ... ---------------------- ipop3d End -------------------------

  • RedHat7.3でLogWatch 2.6 Begin の内容をおしえてください

    RedHat7.3でサーバーを構築しております。 LogWatch 2.6 Beginというメールがルート宛てに毎日午前4時に届くようになっています。この内容を知りたいのですがどなたかご教授おねがいします Failed FTP Logins: pa214.zory.sdi.tpnet.pl (217.96.208.214): ftp - 1 Time(s) **Unmatched Entries** wu-ftpd - TLS settings: control allow, client_cert allow, data allow wu-ftpd - TLS settings: control allow, client_cert allow, data allow ACCESS DENIED (not in any class) TO pa214.zory.sdi.tpnet.pl [217.96.208.214] ------- Connections (secure-log) Begin ----- Connections: Service pop3:    218.231.49.67: 1 Time(s) 192.168.0.2: 1 Time(s) 218.231.51.180: 1 Time(s) Service ftp: 192.168.0.2: 1 Time(s) 217.96.208.214: 2 Time(s) こんな感じですが・・ なぜお聞きしたいかというと、まだ、サーバーを公開していないのに知らないIPが 出てくるので少し不安になりました。

  • ルーターへのPCからのアクセス

    ソネット光を利用しています。 IPv6通信させるためにルーター設定をしようとしています。 ルーターはNTT東日本のRV-S340SEです。 http://192.168.1.1/でアクセスしたところ、 ユーザー名とパスワードを聞かれます。 ネットで調べると代表的なものは次のとおりです。 ユーザー名:user,root,admin パスワード:user,root.admin,password 1年前にuserとuserでログインしたように記憶していたのですが、記憶違いだったようで、うまくログインできません。 出来ればルーターを初期化したくないので、ありがちなユーザー名等を教えてもらえると助かります。もし初期化せずに他にログインする方法があれば教えてください。 ※OKWAVEより補足:「So-netの各種設定」についての質問です。

  • /var/log/secureの時間表記について

    fedora8を使って、/var/log/secureで分からないことがあります。 Jun 1 19:19:06 localhost sshd[19307]: Invalid user stud from 219.94.169.111 Jun 1 10:19:06 localhost sshd[19308]: input_userauth_request: invalid user stud Jun 1 19:19:06 localhost sshd[19307]: pam_unix(sshd:auth): check pass; user unknown Jun 1 19:19:09 localhost sshd[19307]: Failed password for invalid user stud from 219.94.169.111 port 60107 ssh2 Jun 1 10:19:09 localhost sshd[19308]: Received disconnect from 219.94.169.111: 11: Bye Bye 上記のログで、なぜ一部の時間が9時間狂ってしまうのかがわかりません。原因がわかる方、ぜひ回答をお願いします。

  • Linux3.2 サーバーsecure logファイルについて

    Linux3.2を見よう見まねで、中古パソコンにセットしてます。 接続環境 パソコン:IBM NETVISTA 回線so-netADSL ルータ Aterm WD701cv DMZ設定 以上の様な内容で、Linux3.2の/var/log/secureログを見ると apacheのトムキャット経由で、次のようなアクセスが、サーバーに頻繁に有るように残りますがこれは正常な状態か?不正な状態か教えていただきたいと思います。初歩的疑問で申し訳ありません。付けてファイアーウオールの勉強はどの辺から行けば良いかもお知らせいただけると助かります。ログの一部です。 Feb 2 06:41:18 anbaii sshd[9604]: error: Could not get shadow information for NOUSER Feb 2 06:41:18 anbaii sshd[9604]: Failed password for invalid user daniel from 221.8.71.36 port 49691 ssh2 Feb 2 06:41:19 anbaii sshd[9607]: Invalid user william from 221.8.71.36 Feb 2 06:41:19 anbaii sshd[9607]: error: Could not get shadow information for NOUSER Feb 2 06:41:19 anbaii sshd[9607]: Failed password for invalid user william from 221.8.71.36 port 49744 ssh2 Feb 2 06:41:20 anbaii sshd[9610]: Invalid user anthony from 221.8.71.36 Feb 2 06:41:20 anbaii sshd[9610]: error: Could not get shadow information for NOUSER Feb 2 06:41:20 anbaii sshd[9610]: Failed password for invalid user anthony from 221.8.71.36 port 49802 ssh2

  • NamedでUnmatched Entriesというエラーはどういう意味でしょうか。

    Redhat9.0でネームサーバを稼動させたところ、毎日以下のようなメッセージがrootに送られてきます(LogWatchのメール)。このエラーの意味とどこを直せばよろしいのでしょうか。host1というサーバーが登録されていないと言うことなのでしょうか。 --------Named Begin ----- **Unmatched Entries** zone host1.aaa.bbb.ccc.jp/IN: refresh: failure trying master 192.*.***.8#53: timed out: 5 Time(s) ----- Named End ------

  • リナックスで攻撃?されているログ

    勉強用に立ち上げたサーバーの/var/log/secureに下のようなメッセージがぶわ~っと出力されていたんですが、 これは攻撃を受けていると見てよいのでしょうか? 一つ一つポートをかえてきているようで、とはいってもたまたまヒットしてもパスワードまでは分からないと思うのですが、 何となく不気味です。。。 67427 Feb 4 23:47:22 username sshd[3466]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=217-168-44-137.static.cablecom.ch user=root 67428 Feb 4 23:47:25 username sshd[3466]: Failed password for root from 217.168.44.137 port 41281 ssh2 67429 Feb 4 23:47:25 username sshd[3467]: Received disconnect from 217.168.44.137: 11: Bye Bye 67430 Feb 4 23:47:27 username sshd[3468]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=217-168-44-137.static.cablecom.ch user=root 67431 Feb 4 23:47:29 username sshd[3468]: Failed password for root from 217.168.44.137 port 41641 ssh2 67432 Feb 4 23:47:29 username sshd[3469]: Received disconnect from 217.168.44.137: 11: Bye Bye 知識のある方ご教授いただければと思います。

  • SSHでログイン後にsuできない。

    WindowsからPuTTYを使ってサーバ(FreeBSD7.0)に接続し、rootになろうとしています。 PuTTYを使って、一般ユーザでログインすることはできるのですが、その後、rootになろうとsuコマンドを打つと、以下のようになり、rootになれません。 【PuTTYのコンソール】 $ su Password:(rootのパスワードを入力) su: Sorry $ サーバ側でsshdのログを見ると以下のようになっております。 # /usr/sbin/sshd -ddd : Bind to port 22 on 0.0.0.0 failed: Address already in use. Cannot bind any address. 22番ポートがすでに使用されているかと思い、以下のコマンドを打ってみました。 # sockstat | grep 22 (一般ユーザ) sshd 772 3 tcp4 (サーバのアドレス):22 (クライアントのアドレス):51401 root sshd 769 3 tcp4 (サーバのアドレス):22 (クライアントのアドレス):51401 root sshd 686 3 tcp4 *:22 *:* 上記の2番目で、すでにクライアントからrootで接続しているように見えます。クライアントからは一般ユーザを使用して接続しているのみです。なぜこうなるのか全くわかりません。 この一般ユーザはwheelグループに入れてあり、通常はsuでrootになれると思うのですが、、、 見当違いなのか、また他に原因が考えられるのか、ご教授頂けないでしょうか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する