2006年5月11日
自宅でサーバー(略して自鯖)を立てていると、いろいろアタックしてくるバカがいる。
・ログイン
いろいろIDを変えてログインしてくるバカが多い。もちろん、全部はじいている。
外部からの接続はSSH(SecureSHell)で鍵の認証を通すようにしてある。
実際にはSSHをサポートしているTeraTermProとかでないと外部からのログインはできない。
しつこくアタックしてくるバカもうざいので、片っ端からIPを指定してルータで遮断していたら、
その中にnifty.comのアドレスが混じっていて、MIKさんとかみなみさんのブログが見えなくなっていた。orz
数日間もこんな状況が続くのはおかしいと原因を探っていたらルーターではじいていたのが原因とわかって
nifty.comのアドレスを通すようにしたけど、何だかなあ。
・メール
これもいろいろアタックしてくるバカが多い。
SPAMメールの中継にされてたまるか。
一応、知識はないがそれなりのセキュリティはかけているつもり。
HELOコマンドでホスト名を通知しないホストの接続を拒否
SMTPのVRFY コマンドを使用不可
RFC822で定義されている書式に適合しないメールアドレスが通知された場合の拒否
とにかく転送は拒否
ソースルート形式で指定されている宛先メールアドレスを拒否
サーバへの接続は自サイトのネットワークからの接続を無条件で許可、IPアドレスからホスト名への逆引きができないホストの接続拒否
ホスト名が正しい書式でホスト名を通知してきたホストのみ接続を許可
実際には存在しないドメイン名が送信元メールアドレスに使われているメールの受信を拒否
という設定はしているつもり。
ログを見てみるとREJECTしているログもかなりある。
投稿者 pikachu7500 : 2006年5月11日 00:01
コメント
ほんと多いですね。
私もHPのアドレスはロボットで簡単に探られないようにしました、、、
投稿者 メーテル : 2006年5月10日 23:01
まあほとんど大多数の攻撃は、人手でやってるのではなく、ウィルスの攻撃で
感染したマシンが更成る感染先を探して自動的にやってますけどね。
昔FreeBSDのjail使って、ハニーポッターと秘密の部屋ごっこしようとしてた時も
あったけど、Win鯖狙いのウィルス・ウォームが流行ると、読む気力も無くなる
くらいログが膨れ上がるので辞めてしまいました。今だったら人工知能に任せて、
クラスタリングとかウィルスマイニングとかやらせると面白いかも。
問題はnifty.com内の鯖がしょっちゅう感染してることでしょうか。あそこの
管理は一体何やってるのでしょうね?そのくせICMPは全部遮断しててパケット長の
ネゴすら出来ないのに。
うちもSSH開けてますが、SSHもたまにセキュリティホールが見付かるので、SA出たら対処します。
メールに関しては、
>存在しないドメイン名が送信元メールアドレスに使われているメール
これを弾くだけで9割方が弾けるのですが、一時verysign社が嘘ドメインを登録
しまくった時は、このフィルタが働かなくて困りました。こんな会社がSSLだの
セキュリティだのの商用総元締めってのが信用ならない。Windowsのアプリとか
デバドラをインストールする時や、Windows Update掛ける時も、ここのデジタル
署名を要求するのが非常に不安。
投稿者 GPE-R200SS : 2006年5月10日 23:17
私の場合は、CN、KR、TWに割り振られたIPアドレスからのアクセスは無条件ではじいています。OCNやODNに割り振られたIPからも、SPAMメールが来るんですよねえ。digコマンドでプロバイダのmxを引いてホワイトリストに追加し、whoisでSPAMを送ってきたIPアドレスを含むブロックを調べて拒否リストに追加、というのを気が向くとやっています。
投稿者 秋山 : 2006年5月11日 18:03
海外(特に東アジア方面)も多いのですが、これはハッカー野郎ではないかと思ってます。
国内からも結構来てますが、これはウイルス系かもしれません。
とにかくうざいところはIP制限かけますけどなかなか面倒です。
秋山さん、いつぞやはメールでいろいろありましたね、覚えてますよ。
投稿者 ここの管理人 : 2006年5月11日 22:11