- ベストアンサー
しらないIPからの接続要求
先ほど、ここでお答えをいただきサーバーのログの問題を1つ解決できました。大変感謝しております。 それでもう一つの問題を質問いたします。 いくつかのサーバーのログを見ていたら、一つのサーバーで Feb 6 14:55:11 yuki-dev smbd[18892]: [2007/02/06 14:55:11, 0] lib/access.c:check_access(328) Feb 6 14:55:11 yuki-dev smbd[18892]: Denied connection from (218.168.17.87) というログがやはり、1~2秒おきに出ています。このIPは全く見当がつきません。これはだれかにアタックされているように見えます。今のところ、接続を拒絶しているようですが、やっぱりログがどんどん大きくなるので、非常にめいわくです。なんとかしたいのですが、このIPアドレスをJPNICで検索しても「該当するデータがありません。」となって、抗議もできません。また、現時点でなにか重要なデータを盗まれたとかいう証拠もないので、警察も相手にしてくれないじゃないかと思います。 samba は非常に便利に使っているので、sambaを生かしたままなんとかしたいのですが、なにか方法はありませんでしょうか?
- みんなの回答 (8)
- 専門家の回答
質問者が選んだベストアンサー
http://internet.watch.impress.co.jp/cda/news/2007/02/07/14704.html 回数だけのチェックだけも甘い気が ログ一ずつチェックしておいた方がいいかもね。 いつのまにか進入されていたとかになったりして
その他の回答 (7)
- Lean
- ベストアンサー率72% (435/603)
>セキュリティがちゃんと働いて接続を拒否したというログは1日1個、あるいはログローテイト1回につき1個で十分と思います。 個人的な意見ですが、何回あったかも重要だと思っています。 クレームを付けるにしても、どのくらいあったという情報も必要だと思っていますので。 ただ、個人的には、smbd(samba)で拒否するように設定する事はもちろんですが、そこまで届く前にフィルタリングして必要な接続元以外からの接続はsmbd(samba)まで届かないようにしますね。 基本的には、外部から内部入ってくるものは基本的に拒否でフィルタリングし、必要なポートのみ、それも特定の接続元が特定できるならその接続元からの接続のみに限定して接続出来るようなフィルタリングの設定を行っています。 フィルタリングでもブロック(拒否)した時にログを出力するようにして、大量のログになりますが、圧縮して何世代(容量の都合で3~4ヶ月程度)か残してあります。
お礼
> 個人的な意見ですが、何回あったかも重要だと思っています。 > クレームを付けるにしても、どのくらいあったという情報も必要だと思っていますので。 たしかにそうですね。 同じIPからのアタックについては最初の1個を残し、あと回数、最後の時間くらいを記録したいと思います。 ありがとうございました。
- toro777777
- ベストアンサー率16% (43/257)
>セキュリティがちゃんと働いて接続を拒否したというログは1日1個、あるいはログローテイト1回につき1個で十分と思います。 なんかいそのようなことがおきているかも重要だと思いますよ。 そんなに気になるなら生ログから 振り分けようのスクリプトでも Perlで組めばいいのでは?
お礼
> そんなに気になるなら生ログから > 振り分けようのスクリプトでも > Perlで組めばいいのでは? いわれてみると、そのとおりですね。 サーバーの管理は結構長いのですが、こんなしつこいアタックは初めてだったので、ちょっと頭に血が上っていました。 早速、ご提案の方法で対策をとりたいと思います。 同じIPからのアタックについては最初の1個を残し、あと回数、最後の時間くらいを記録したいと思います。 ありがとうございました。
- toro777777
- ベストアンサー率16% (43/257)
>セキュリティはそれなりに考えてあるのですが、ログがたまるのが、うざいので質問しました。こんなログがたくさんあると、本当に重要なログを見落としそうです。 セキュリティの考えから見るとこういう 怪しいログ(しかも定期的なんて)すべてこそが重要なログなんです。 怪しくないまともなログだけ拾ってアクセス解析でもして 満足するためですか? そこら辺がわかってないのに セキュリティはそれなりに考えてある なんていわないでください。 まったく考えていません。
補足
Denied になっているわけですから、セキュリティはちゃんと機能していると思いますが。このログによってこちらが設定しているセキュリティが想定どおりに機能している確認もできます。 インターネットに接続しているわけですから、いろんなことが起こるのは想定内です。ですから、本当に危険なものがログに出ればいいのであって、セキュリティがちゃんと働いて接続を拒否したというログは1日1個、あるいはログローテイト1回につき1個で十分と思います。 問題はセキュリティに全く問題ないログが、人間の注意力の邪魔をするということです。 > そこら辺がわかってないのに > セキュリティはそれなりに考えてある > なんていわないでください。 > まったく考えていません。 そういうわけなので、このような発言は全く意味不明です。
- Wr5
- ベストアンサー率53% (2173/4061)
>思うに Denied で終わった時は、同じIPの Denied の記録は1日1個でいいような気がするのですが。 Swatch + iptablesでブロックするようにしてはどうでしょうか? SSHなんかもこの応用で対処できると思いますが。
- tao_0077
- ベストアンサー率48% (33/68)
サーバをインターネットに公開したら、 >しらないIPからの接続要求 が来るのが普通、と思ったほうがいいです。かつ、その接続は「悪意」があるものも少なくないと考えて、セキュリティを考えていかなければなりません。 samba はインターネット経由で使うような物ではないと思いますが…。VPN などのしかるべき接続方法を考えるべきです。
お礼
ご回答ありがとうございました。 ログを見てたら、接続要求の来るIPアドレスが変化しました。それでも、接続要求を出しているポートや間隔がまったく同じなので、このIPアドレスは踏み台にされていただけのようでした。 セキュリティはそれなりに考えてあるのですが、ログがたまるのが、うざいので質問しました。こんなログがたくさんあると、本当に重要なログを見落としそうです。 ルーターの設定で接続を許すIPを限定してしまおうかという意見もでています。しかし、ルータが古いのか、設定はCOMポートに直接でしかできないので、設定を変えるにはホスティングの現場まで行かなくてはなりません。 思うに Denied で終わった時は、同じIPの Denied の記録は1日1個でいいような気がするのですが。
- okjbnm
- ベストアンサー率34% (8/23)
ファイアーウォールをおすすめします。 接続してきている該当国は、台湾ですね。
お礼
ご回答ありがとうございました。 ログを見てたら、接続要求の来るIPアドレスが変化しました。それでも、接続要求を出しているポートや間隔がまったく同じなので、このIPアドレスは踏み台にされていただけのようでした。
- audience_k
- ベストアンサー率51% (23/45)
すみません、素人なのですが、ご質問がふと目に入って・・・ ご質問のIP(ここにIP記載することの可否は分かりませんが・・・)検索してみたら、ヒットしました。某国の企業?のようですね。 ちなみに私は http://whois.ansi.co.jp/ http://www.cman.jp/network/support/ip.html http://www.mse.co.jp/ip_domain/index.shtml で検索してみました。 一番上のサイトが簡単に表示されるようです。(私は読めませんが・・・w) と、この回答自体が削除対象かも知れません。 その際はご容赦下さい。
お礼
ご回答ありがとうございました。 ログを見てたら、接続要求の来るIPアドレスが変化しました。それでも、接続要求を出しているポートや間隔がまったく同じなので、このIPアドレスは踏み台にされていただけのようでした。
お礼
なんどもありがとうございます。 数を数えるだけにするのは、全く同じパターンが続く場合にすべきでしょうね。ログのパターンが変化したら、それは残すべきでしょうね。また、messages のオリジナルは当然残しておいて、人間が目を通すためのログは別に作ることになりそうです。人間という生き物は十万行以上の同じような行の続くログを注意力を維持してチェックできるようには出来ていませんから。