- 締切済み
これは自宅サーバーがのっとられているのでしょうか・・・
私は、自宅サーバー(OS:CentOS5)を市販のルーター経由で公開しております。 市販のルーターのパケットフィルタリング機能にてローカルのサーバーIPへ転送している状態です。 転送許可しておりますのは、 53(TCP,UDP) 80(TCP) 110(TCP) 25(TCP)のみの状態です。 また、/etc/http/conf/vhosts/以下のバーチャルドメインの設定先はpublic_html/.htaccessでローカルからしか参照出来ない設定です 下記のコマンド実行時、なぜかESTABLISHED状態がある状態です。 # netstat -an|grep tcp tcp 0 0 0.0.0.0:587 0.0.0.0:*LISTEN tcp 0 0 192.168.122.1:530.0.0.0:*LISTEN tcp 0 0 0.0.0.0:21 0.0.0.0:*LISTEN tcp 0 0 0.0.0.0:25 0.0.0.0:*LISTEN tcp 0 1 192.168.11.99:58849 219.153.***.***:80 LAST_ACK tcp 0 0 192.168.11.99:33220 83.217.***.***:80 ESTABLISHED tcp 0 0 192.168.11.99:33225 83.同じIP.212:80 ESTABLISHED tcp 0 0 192.168.11.99:33187 83.同じIP.212:80 FIN_WAIT2 tcp 0 0 192.168.11.99:33194 83.同じIP.212:80 FIN_WAIT2 tcp 1 0 192.168.11.99:50745 41.同じIP.43:80CLOSE_WAIT tcp 0 0 192.168.11.99:50746 41.同じIP.43:80ESTABLISHED tcp 0 0 192.168.11.99:44627 72.***.***.145:80ESTABLISHED tcp 0 0 :::993 :::* LISTEN tcp 0 0 :::995 :::* LISTEN tcp 0 0 :::110 :::* LISTEN tcp 0 0 :::143 :::* LISTEN tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::22 :::* LISTEN tcp 0 0 :::443 :::* LISTEN tcp 0 0 ::ffff:192.168.11.99:80::ffff:209.同じIP.34:41903 ESTABLISHED tcp 052 ::ffff:192.168.11.99:22::ffff:192.168.11.30:1334 ESTABLISHED tcp 0 0 ::ffff:192.168.11.99:80::ffff:209.同じIP.34:41094 TIME_WAIT tcp 0 0 ::ffff:192.168.11.99:80::ffff:209.同じIP.34:41088 TIME_WAIT tcp 0 0 ::ffff:192.168.11.99:80::ffff:70.同じIP.130:49439 TIME_WAIT tcp 1 0 ::ffff:192.168.11.99:80::ffff:70.同じIP.130:48291 CLOSE_WAIT 自分でXenによる仮想OSは構築しておりません。 そして自分のグローバルIPでアクセスした際のdefaultユーザー(www)のアクセスログ(/var/log/httpd/access_log or error_log)を 見ておりましても、全然アクセスされている形跡がなく自分のローカルIPしか載っていない状態でございます。 #ifconfig eth0 Link encap:Ethernet HWaddr 00:0A:79:28:BA:09 inet addr:192.168.11.99 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::20a:79ff:fe28:ba09/64 Scope:Link eth1 Link encap:Ethernet HWaddr 00:90:99:7D:8B:42 UP BROADCAST MULTICAST MTU:1500 Metric:1 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 virbr0 Link encap:Ethernet HWaddr 00:00:00:00:00:00 inet addr:192.168.122.1 Bcast:192.168.122.255 Mask:255.255.255.0 inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:6 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:468 (468.0 b) 下記を参照した際や # netstat -an|grep tcp # tcpdump -i eth0 -l -x -s 1500 -v ! port 22 としてみた場合、あきらかにパケットが流れているのを確認できます。 # tcpdump -i eth1とvirbr0 -l -x -s 1500 -v ! port 22 としてみた場合は、特にパケットが流れている様子は確認できません。 上記のvirbr0は自分で作った覚えがないのですが、OSインストール時にデフォルトで存在していたかは、お恥ずかしながら覚えておりません。 また192.168.122.1:53のIPとポート53番を設定した覚えもございません。 ethカードは2枚挿さっておりますが、特にeth1を設定した覚えもございません。 # ll /etc/sysconfig/network-scripts/*virbr0*は確認できません。 お忙しい所恐縮ですが、これはどうゆう状態であるのか・・・を、先輩方のご経験とご判断をお伺い出来ましたらと思っております。 よろしくお願い致します。
- taku0
- お礼率80% (160/199)
- その他(ITシステム運用・管理)
- 回答数1
- ありがとう数4
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- _himajin_
- ベストアンサー率65% (128/195)
.htaccess でアクセスを禁止するか判断するのは httpd ですので、httpd はいったん接続を受け入れ、判断の結果を返しているはずです。 また、ブラウザが Keep-Alive なら、接続状態(ESTABLISHED)のまましばらく残ります。 誰にも教えていないなら、ポートスキャンされているか、ワームなどによる攻撃の可能性が高いと思われます。 LAN 内だけで使用するのであれば、ルータで Port 80 を遮断すべきです。 Port 22 は SSH です。その netstat やら tcpdump は SSH 経由で 192.168.11.30 のPCから動かしているのではないですか? (tcp 052 ::ffff:192.168.11.99:22::ffff:192.168.11.30:1334 ESTABLISHED と、ちゃんと接続状態が示されています) virbr0 は初めて見ましたが、Xen などの仮想環境をインストールしていると作られるようですね。 この手のものは、仮想環境を実際に動かしていなくてもインストールだけで作られるはずです。 192.168.122.1:53 は、192.168.122.1 への接続のみ受け付けるという意味です。 この IP は virbr0 に割り当てられているものなので、おそらく仮想環境側から DNS を引くために DNS デーモンがいるか、リレーするだけのデーモンが動いているのではないでしょうか? # IPv6?でいろいろ LISTEN しているように見えるのもそれなのかな…? (:21 FTP、:22 SSH、:25 SMTP、:53 DNS、:80 HTTP、:110 POP3、:143、IMAP4、:443 HTTPS、:587 SMTP、:992 POP3 over SSL、:993 IMAP over SSL) それと、、53, 110, 25を開けているとのことですが、少なくとも 53 は開ける必要が無いのでは? # リストを見る限り、外部からのアクセスを受け付ける DNS デーモンが動いているようには見えません。 # 110(POP3)、25(SMTP)も不要なら遮断したほうが良いです。
お礼
ワームによる攻撃ですかぁ・・。 tcpdumpはLAN内から192.168.11.30で接続し実行しております。 仮想環境は動かしていなくてもインストールされているようですよね。起動時にXen系のが確認できますのでそうなのかな・・・とは感じております。 >192.168.122.1:53 は、192.168.122.1 への接続のみ受け付けるという意味です。 を前提にしますとやはり仮想環境でDNSを・・・と言う事になりそうですね。 最後の53は、固定IPで独自ドメインの問い合わせを53で行っておりますので、必要とのことであけている状態です。 110(POP3)と25(SMTP)も独自ドメインにて外部とメールの送受信をする為あけざるを得ないという感じなんです。 そうすると、Xenの仮想環境近辺を少し調べて、自分で設定出来るようになってみて・・・って感じでしょうかねぇ・・ お忙しい中、有難うございました