• 締切済み

これが、不正アクセスなんでしょうか?

やっと、メールサーバーの運用ができるかもと思いきや。。。。 ログにこんな表示があったんですが。。。。 --------------------- iptables firewall Begin ------------------------ Logged 783 packets on interface eth0 From 59.135.39.225 - 19 packets to tcp(25) From 59.135.39.228 - 5 packets to tcp(25) From 59.135.39.229 - 20 packets to tcp(25) From 59.135.39.230 - 5 packets to tcp(25) From 59.135.39.231 - 4 packets to tcp(25) From 59.135.39.233 - 5 packets to tcp(25) From 59.135.39.234 - 10 packets to tcp(25) From 59.135.39.235 - 14 packets to tcp(25) From 59.135.39.236 - 5 packets to tcp(25) From 59.135.39.238 - 5 packets to tcp(25) From 59.135.39.239 - 5 packets to tcp(25) From 59.135.39.241 - 10 packets to tcp(25) From 59.135.39.242 - 5 packets to tcp(25) From 59.135.39.243 - 5 packets to tcp(25) From 59.135.39.244 - 20 packets to tcp(25) From 114.111.83.217 - 11 packets to tcp(36701) From 115.125.246.68 - 21 packets to tcp(25) From 118.166.221.149 - 2 packets to tcp(25) From 203.216.243.170 - 11 packets to tcp(52520) From 211.9.230.193 - 9 packets to tcp(25) From 211.9.231.193 - 8 packets to tcp(25) From 211.132.128.193 - 40 packets to tcp(35135,40197,41037,41145,59982,60962) From 219.103.130.24 - 18 packets to tcp(25) From 219.103.130.34 - 129 packets to tcp(25) From 219.103.130.152 - 9 packets to tcp(25) From 219.103.130.154 - 248 packets to tcp(25) From 221.242.76.82 - 96 packets to tcp(25) From 222.15.69.195 - 44 packets to tcp(36270,36271,36272,36273,60169) ---------------------- iptables firewall End ------------------------- 一応、最低限度のファイアーウォールはしてるつもりなんですが。。。。 いい方法があれば、教えてください。

みんなの回答

  • Wr5
  • ベストアンサー率53% (2177/4070)
回答No.1

[user@localhost ~]$ host 59.135.39.225 225.39.135.59.in-addr.arpa domain name pointer nx3oBP05-01.ezweb.ne.jp. [user@localhost ~]$ host 115.125.246.68 68.246.125.115.in-addr.arpa is an alias for 68.0/24.246.125.115.in-addr.arpa. 68.0/24.246.125.115.in-addr.arpa domain name pointer www.rbl.jp. [user@localhost ~]$ host 118.166.221.149 149.221.166.118.in-addr.arpa domain name pointer 118-166-221-149.dynamic.hinet.net. [user@localhost ~]$ host 211.9.230.193 193.230.9.211.in-addr.arpa domain name pointer mgkyb1.nw.wakwak.com. [user@localhost ~]$ host 211.9.231.193 193.231.9.211.in-addr.arpa domain name pointer mgkyb2.nw.wakwak.com. [user@localhost ~]$ host 219.103.130.24 24.130.103.219.in-addr.arpa domain name pointer mgdnp1.nw.wakwak.com. [user@localhost ~]$ host 219.103.130.34 34.130.103.219.in-addr.arpa domain name pointer fbdnp1.nw.wakwak.com. [user@localhost ~]$ host 219.103.130.152 152.130.103.219.in-addr.arpa domain name pointer mgdnp2.nw.wakwak.com. [user@localhost ~]$ host 219.103.130.154 154.130.103.219.in-addr.arpa domain name pointer fbdnp2.nw.wakwak.com. [user@localhost ~]$ host 221.242.76.82 82.76.242.221.in-addr.arpa domain name pointer 221x242x76x82.ap221.ftth.ucom.ne.jp. [user@localhost ~]$ ということで、59.135.39.xxxはauのケータイからのアクセス。 手持ちのauのケータイで、立ち上げたメールサーバを使用した送信テストとかしませんでしたか? # ケータイから外部のSMTPサーバに接続できるのかどうかは不明ですが。 www.rbl.jpは不正中継サーバの確認用…ですかね。 wakwak.com系が複数ありますが…転送テストかなにかでもやったんでしょうか? dynamic.hinet.netから2パケットありますが…たぶん乗っ取られたマシン等からのポートスキャンでもうけたのでしょう。 # って25番ポートだけなので、ポートスキャンとは少し違うか… オープンリレーのできるメールサーバを探しているものが接続してきた…かな? ftth.ucom.ne.jpもオープンリレーの調査…でしょうかねぇ。 他の25番以外に接続しているモノは…不明ですね。 んで、25番開けているのであれば、メールの配信で接続されることもあるでしょう。 メールサーバのログの方を確認すべき…かと思いますが。 iptablesでログを取るようにしていないので、こちらは特に出ていないです。 # まぁ25番を外部に開けていませんし。

umeda_1970
質問者

お礼

Wr5さん早速の回答ありがとうございます。 まだまだ未熟者で、わからない事もたたありますが、 勉強していこうとおもいます。今回の回答大変役立ちました。  実際ルーターを使用して、バーチャルサーバー機能を使用し、 最低リレーだけは、されないように構成してます。 あと、CentOS5で、postfix、dovecotの構成なのですが、 smtp認証、iptable等での対策はしているのですが、 どの様な不正アクセスを含め、ウイルスの対策をしていけばよいのでしょうか? また、その他のログの見方設定等も教えていただけないでしょうか。 よろしくお願いします。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

  • アクセスログで不正アクセスを解明するには?

    不審な動きがあったので、不正アクセスを疑いログを調べました。 パソコンはMacです。コンソールにて調べています。 でも、コンソールの解読方法がよく分かりません。 Firewallのログにてよく分からないものが出てきました。 Stealth Mode connection attempt to UDP 192.***.0.5:64750 from 192.***.0.1:** Stealth Mode connection attempt to UDP 192.***.0.5:65419 from 192.***.0.1:** Connection attempt to UDP 240f:0006:9966:0001:803e:4758:dff0:4322:62743 from 2001:0268:fd07:0004::0 とあります。 UDPとTCPの違いは何でしょうか? また、異なる様々なIPアドレスがある場合は不正アクセスではないのでしょうか?どのような場合が不正アクセスに該当するのでしょうか?

    • ベストアンサー
    • Mac
  • netログについて

    NETの質問ですが、エアーステーションの無線ルータを接続していますが、ログに以下のファイアーウォールのログが大量に出てます。接続し直しでIPを変更しても状況は変わりません。DDOS攻撃でしょうか? 日付時刻 種類 ログ内容 2014/11/15 11:49:10 FIREWALL UDP connection denied from 61.25.16.49:67 to 255.255.255.255:68 (eth0) 2014/11/15 11:49:09 FIREWALL UDP connection denied from 61.25.16.49:67 to 255.255.255.255:68 (eth0) 2014/11/15 11:49:09 FIREWALL UDP connection denied from 61.25.16.49:67 to 255.255.255.255:68 (eth0) 2014/11/15 11:49:08 FIREWALL UDP connection denied from 61.25.16.49:67 to 255.255.255.255:68 (eth0) 2014/11/15 11:49:07 FIREWALL UDP connection denied from 61.25.16.49:67 to 255.255.255.255:68 (eth0) すいませんが、ご指導お願いします。 ※OKWaveより補足:「J:COMのサービス」についての質問です。

  • Buffaloのログ 不明で不安です

    エアステーションでログを初めて見ました。 1時間間隔で こんなログがあるのですが 意味が分かりません。 怖いのかすら分かりません。 何かされてるんでしょうか 助けて下さい FIREWALL UDP connection denied from 17.133.234.33:16387 to 100.64.1.27:16403 (eth3) FIREWALL UDP connection denied from 106.146.39.122:62860 to 100.64.1.27:50087 (eth3)

  • 内部から外部へのアクセスについて

    どうもこんにちは。 自分なりにいろいろと調べてみたのですが、お手上げなので質問させていただきます。 自宅サーバーを公開するため、LAN1とLAN2を構築し、LAN2で動かしているウェブサーバー(Apache)をリバースプロキシ(Apache)をつかって公開しています。インターネットもLAN2内のフォワードプロキシでインターネットに繋がっています。 インターネット---ルーター---PC1(CentOS)                     |                スイッチングハブ                     |                     |-----PC2(Windows7)                     |                     |                     ˈ-----PC3(Windows7) (PC1) ・IPマスカレードでLAN1とLAN2の構成(176.231.10.2/2X⇔176.231.15.21/2Y) ・Apacheによるリバースプロキシ(176.231.10.2/2X) ・Apacheによるフォワードプロキシ(176.231.15.21/2Y) (PC2) ・Apacheによるウェブサーバー(172.231.15.22) (PC3) ・ユーザーのPC(172.23115.23) このような構成になっており、LAN2はフォワードプロキシを通してインターネットに接続されています。ここで、LAN2内から外部メール(googleなど)を受信したいのですが、Thunderbirdでプロキシを指定しても受信することができません。正確に言えば、PC1のみ受信でき、PC2とPC3で受信を行うことができません。これはなにがいけないのでしょうか、ファイアウォールの設定でしょうか?それともApacheの設定でしょうか? 【iptablesの設定】 #インタフェース名定義 LAN=eth0 WAN=eth1 #ポート解放 iptables -A INPUT -i eth0 -s 176.231.10.0/2X -p tcp --dport 80 -j ACCEPT(HTTP) iptables -A INPUT -i eth1 -s 176.231.15.20/2X -p tcp --dport 8080 -j ACCEPT(PROXY) iptables -A INPUT -i eth1 -s 176.231.15.20/2X -p tcp --dport 25 -j ACCEPT (SMTP) iptables -A INPUT -i eth1 -s 176.231.15.20/2X -p tcp --dport 143 -j ACCEPT(IMAP) iptables -A INPUT -i eth1 -s 176.231.15.20/2X -p tcp --dport 995 -j ACCEPT(POP3S) iptables -A INPUT -i eth1 -s 176.231.15.20/2X -p tcp --dport 465 -j ACCEPT (SMTPS) 【Apacheの設定】 <IfModule mod_proxy.c> AllowCONNECT 955 ProxyRequests On ProxyVia On <Proxy 176.231.15.21:8080> Order deny,allow Deny from all Allow from 176.231.15.20、172.231.10.0 </Proxy> </IfModule> そもそも、Apacheではメールプロキシ構築は無理で、他のプロキシソフト(delegateなど)でやらなければならないのでしょうか?一応、delegateは試してみたのですが、記述方法がわからず・・・。このような記述方法で良いのでしょうか? 記述例1 -P176.231.15.21 SERVER=pop://pop.gmail.com/ RELIABLE=".,172.231.15.22" PROTOLOG="" LOGFILE=${LOGDIR}/${PORT}/log[date+%d] 記述例2 -P178.231.25.21 SERVER=pop MOUNT='* pop://pop.gmail.com/*' PERMIT='*:*:172.231.15.20' LOGFILE=${LOGDIR}/${PORT}/log[date+%d] 質問が分かりにくくなったのでまとめます。 問題1 ファイアウォール設定かApacheの設定が悪いのか。 問題2 そのどちらでもなくソフトに問題があるのか。 どちらか一方を答えたくだされば結構です。お願いいたします。

  • iptables ポートフォワーディングについて

    ポートフォワーディングの設定を行いたくて試しにやっているのですが、 うまくいかないので教えていただけないでしょうか。 WinXPクライアント(192.168.1.22) | Linuxルーター(eth0=192.168.1.40, eth1=192.168.2.41)起動しているサーバーはssh,telnet,ftp,http,postgresです。 | LinuxWebサーバー(eth0=192.168.2.81 port=80)起動しているサーバーはssh,telnet,ftp,http,postgres,cvspserverです。 WinXPクライアントからLinuxWebサーバーにアクセスしたいのですが、以下のように設定しても WinXPクライアントのブラウザには「サーバーが見つかりません」と表示されてしまいます。 他に追記すべき設定、お気づき等ございましたら教えてください。よろしくお願いします。 Linuxルーターのiptables設定内容(service iptables stopを行った後、以下を設定しております) iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.2.81:80 iptables -A FORWARD -d 192.168.2.81 -p tcp --dport 80 -j ACCEPT ------------------------------------------------------------- 上記設定後iptables -Lとしてみたら以下のように表示されました。 Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere 192.168.2.81 tcp dpt:http Chain OUTPUT (policy ACCEPT) target prot opt source destination さらにservice iptables saveをして cat /etc/sysconfig/iptablesとしてみたところ以下のように表示されました。 # Generated by iptables-save v1.3.5 on Sat Jan 30 11:46:10 2010 *nat :PREROUTING ACCEPT [2:280] :POSTROUTING ACCEPT [2:115] :OUTPUT ACCEPT [2:115] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.81:80 COMMIT # Completed on Sat Jan 30 11:46:10 2010 # Generated by iptables-save v1.3.5 on Sat Jan 30 11:46:10 2010 *filter :INPUT ACCEPT [148:9894] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [169:16447] -A FORWARD -d 192.168.2.81 -p tcp -m tcp --dport 80 -j ACCEPT COMMIT # Completed on Sat Jan 30 11:46:10 2010 ------------------------------------------------------------- ちなみに以下のように設定してWinXPクライアントからsshで192.168.1.40の10000ポートに接続すると接続できました。 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 10000 -j DNAT --to 192.168.2.41:22 ------------------------------------------------------------- 以下のように設定してWinXPクライアントから「telnet 192.168.1.40 10000」コマンドを発行してみるとしていない 時と比べて「接続中: 192.168.1.40...」となっている時間が長いので何かしら影響しているのかなと思います。 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 10000 -j DNAT --to 192.168.2.81:23

  • ポートフォワードについて

    よろしくお願いいたします。 Linux上で2枚のLANカードでルーターを構築中です。 環境は、 eth0:インターネットへ(外へ) eth1:ローカルネット(内へ) 接続しています。 設定したiptables(ポートフォワードの部分)は、以下のとおりです。 iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.2:80 iptables -A FORWARD -i eth0 -p tcp --dport http -j ACCEPT iptables -A FORWARD -o eth0 -p tcp --sport http -j ACCEPT 実際外部から内部のwebサーバーにつながるのですが、 ルータ上から、ルータに割り当てられたグローバルIPアドレスで、 内部webサーバのホームページを見ようとすると見れません。 何か他に設定しないといけないのでしょうか?

  • iptablesでFTPのパッシブモード通信許可

    こんにちは。 iptablesの学習でテスト用のFWサーバーと2台のWebサーバーをつくりました。 いまはForwardでアクセスごとに転送先を振り分ける実験をしています。 FTPのForward設定でわからないことがあるので質問させてください。 やりたいこと: ip_conntrack_ftpを組み込めばiptablesにいちいちパッシブ通信の使用ポートすべてを指定しなくても、モジュールが自動で制御してくれるという情報をネットで見かけ、それをやってみようと考えています。ところがどうがんばってもFTPのパッシブモードがつながりません。FTP以外のサービス、たとえばDNS, NTP, HTTP等のForwardは問題なく行えています。 環境: FWサーバー → CentOS6 iptablesで外部からのアクセスをブロックしたり、振り分けたり。 WEBサーバー → CentOS6 apacheとvsftpdでWebサーバーを構成。iptables無効です。 ルーター → 業務用ですがファイアウォール等はすべて無効になっています。 111.222.333.0はグローバルIPアドレスです。 192.168.1.0はローカルIPアドレスです。                              -eth0(WEB_SERVER1)                              | 192.168.1.2(→111.222.333.2) (ONU)-(ROUTER)-eth0(FW_SERVER)eth1----|        111.222.333.1(eth0)          |        111.222.333.2(eth0:1)         -eth0(WEB_SERVER2)        111.222.333.3(eth0:2)          192.168.1.3(→111.222.333.3)        192.168.1.1(eth1) FWサーバーのiptable設定: net.ipv4.ip_forward = 1 ip_conntrack_ftpモジュール有効 ip_nat_ftpモジュール有効 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP . .(一部省略) . # HTTP iptables -A FORWARD -p tcp -i eth0 -o eth1 -m multiport --dport 80,443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -o eth0 -m multiport --sport 80,443 -m state --state ESTABLISHED,RELATED -j ACCEPT # FTP(ここをどうしたらいいのかわからない) iptables -A FORWARD -p tcp --dport 21 -j ACCEPT iptables -A FORWARD -p tcp --sport 21 -j ACCEPT # Webserver1 iptables -t nat -A PREROUTING -i eth0 -d 111.222.333.2 -j DNAT --to-destination 192.168.1.2 iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.2 -j SNAT --to-source 111.222.333.2 # Webserver2 iptables -t nat -A PREROUTING -i eth0 -d 111.222.333.3 -j DNAT --to-destination 192.168.1.3 iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.3 -j SNAT --to-source 111.222.333.3 上記設定でFTPのForward部分をmultiportにしてポート20を入れたり除いたり、NEWやESTABLISHEDやRELATEDを入れたり消したり、いろいろ試行錯誤していますがFilezillaで下のようなエラーがでます。 PASV レスポンス: 227 Entering Passive Mode (111,222,333,2,92,226). コマンド: LIST エラー: 接続タイムアウト エラー: ディレクトリ一覧表示の取り出しに失敗しました 説明が長くて恐縮ですがよろしくお願いします。 <(_ _)>

  • iptablesでポートフォアワードがうまくいかない。

    お世話になります。下記の通りiptablesでフィルターとNATの定義をしました。 しかし、内部からネットへの接続は可能ですが、外部からWebサーバーにあるHPが見れない指摘を受け、その原因を調べています。 不備な点、ご指導賜りたく存じます。 eth0:1.2.3.4 ---------- | Linux | ----------- eth1:192.168.0.101   | websever:192.168.0.100 cla:192.168.0.102~ modprobe iptable_nat modprobe ip_conntrack_ftp modprobe ip_nat_ftp iptables -F iptables -t nat -F iptables -t mangle -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT iptables -A OUTPUT -o eth1 -d 192.168.0.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -d 1.2.3.4 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -s 1.2.3.4 -j ACCEPT iptables -A INPUT -p tcp --dport 53 -d 1.2.3.4 -j ACCEPT iptables -A OUTPUT -p tcp --dport 53 -s 1.2.3.4 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 -i eth0 --dport 80 -j DNAT --to 192.168.0.100:80 iptables -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4 iptables -t nat -A POSTROUTING -s 192.168.0.102/32 -o eth0 -j MASQUERADE

  • iptableコマンドを複数記載したスクリプトを実行したいです。

    Linuxのコマンドについてお聞きしたいです。 iptableコマンドを複数記載したスクリプトを作成し、そのスクリプトを実行することによってパケットフィルタリングの設定をしようと思っています。 Windowsで下記のようなファイルを作成しました。 #!/bin/sh iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE iptables -P INPUT DROP iptables -P FORWARD DROP iptables -A FORWARD -i eth1 -s 192.168.0.0/24 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -d 210.98.76.54 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth1 -d 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth0 -d 202.228.202.2 -p udp --sport 53 --dport 1024:65535 -j ACCEPT iptables -A INPUT -j LOG --log-prefix "### INPUT ###" iptables -A FORWARD -j LOG --log-prefix "### FORWARD ###" これをLinuxの/rootに作成したbinフォルダにフロッピーでコピーしました。 ファイル名をfilterにしたので、[root@linux root]# filter とし、Enterとし、 スクリプトを実行して設定を反映させようとしました。 しかし、: bad interpreter: そのようなファイルやディレクトリはありません と出てしまいます。 何が足りないのでしょうか?

  • RedHat9 Linux のDNSサーバのログが不正アクセスでないかどうか教えて欲しいです

    RedHat9 Linux でサーバを構築しています。(DMZも使用しています) ファイアーウォールとしてiptables を使用しています。 下記のようなログがよく出ます。大丈夫でしょうか? aaa.bbb.cc.dd1 ~ aaa.bbb.cc.dd8 まで8個のIPを取得しています。 不審なIPは、123.456.789.123 です。 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd4 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57180 DF PROTO=TCP SPT=2987 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd5 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57182 DF PROTO=TCP SPT=2989 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd6 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57183 DF PROTO=TCP SPT=2991 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd7 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57184 DF PROTO=TCP SPT=2992 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する