【2009年01月の記事】
OpenSSH運用情報 に記載している『SSH接続に失敗したIPを一定時間拒否する』スクリプト /usr/local/sbin/block_ssh_attack.sh ですが、『ログ監視ツール swatch を導入』でブロックに失敗するときと同じ問題がありました。
というより、swatch のスクリプトの該当箇所はこのスクリプトを元にしています。
OpenSSHで今までに問題が発覚しなかったのは、ブロック時間を5分に設定しているため、ほとんどの場合、IPアドレスが iptables に登録されていない状態だったためです。
ということで、OpenSSHのスクリプトも swatch と同じように修正しました。
なお、OpenSSH運用情報の記載も修正済です。
というより、swatch のスクリプトの該当箇所はこのスクリプトを元にしています。
OpenSSHで今までに問題が発覚しなかったのは、ブロック時間を5分に設定しているため、ほとんどの場合、IPアドレスが iptables に登録されていない状態だったためです。
ということで、OpenSSHのスクリプトも swatch と同じように修正しました。
なお、OpenSSH運用情報の記載も修正済です。
最終更新日時 : 2009-01-24 09:18:02
DNSサーバーへの攻撃 で named.conf の blackhole による対応を行いましたが、攻撃を受けるごとにIPアドレスを登録して named を再起動というのはやってられません。
そこで、ログ監視ツール swatch を導入し、コマンド実行アクションで iptables によるブロックを行うようにしました。
構築情報は、以下になります。
http://www.system-act.com/server/swatch.html
なお、現時点ではブロックのスクリプトは単に
swatch の導入に伴い、named.conf の blackhole はコメントアウトしました。
《続きがあります》
そこで、ログ監視ツール swatch を導入し、コマンド実行アクションで iptables によるブロックを行うようにしました。
構築情報は、以下になります。
http://www.system-act.com/server/swatch.html
なお、現時点ではブロックのスクリプトは単に
・iptables によるブロックを実現しているのみです。
・一定時間後にブロックを解除
swatch の導入に伴い、named.conf の blackhole はコメントアウトしました。
《続きがあります》
1ヶ月程前からDNSサーバーからsyslogへ
client xxx.xxx.xxx.xxx#21400: view external: query (cache) './NS/IN' denied
というようなログが1秒くらいの間隔で記録されていることが多くなっています。
だいたい1時間半程度で止まるのですが、今回、69.50.142.11 からは延々と6時間以上も続いています。
これは、さすがに対策しなければということで、nemed.conf に
を追記して、named を再起動しました。
ただ、異なるIPアドレスからも1時間半程度とはいえアタックされていますので、swatch と並行しての対策を行う予定です。
client xxx.xxx.xxx.xxx#21400: view external: query (cache) './NS/IN' denied
というようなログが1秒くらいの間隔で記録されていることが多くなっています。
だいたい1時間半程度で止まるのですが、今回、69.50.142.11 からは延々と6時間以上も続いています。
これは、さすがに対策しなければということで、nemed.conf に
options
{
:
blackhole {
69.50.142.11;
};
};
を追記して、named を再起動しました。
ただ、異なるIPアドレスからも1時間半程度とはいえアタックされていますので、swatch と並行しての対策を行う予定です。
Postfix Adminを Ver. 2.2.1.1 に上げたことにより、vacation_notification テーブルのキー長の問題が解決しました。
そこで、MySQLサーバーを Ver. 5.1.30 にバージョンアップさせました。
構築情報は、
http://www.system-act.com/server/mysql.html
になります。
なお、Ver. 5.0.51a からのバックアップファイルを Ver. 5.1.30 にリストアすると、log系のテーブルでエラーが出てしまいます。
バックアップファイルから、エラーが出たテーブルに関する箇所を削除してからリストアする必要がありました。
また、my.cnf の設定で skip-federated が無効化されていないと MySQL の起動に失敗します。
そこで、MySQLサーバーを Ver. 5.1.30 にバージョンアップさせました。
構築情報は、
http://www.system-act.com/server/mysql.html
になります。
なお、Ver. 5.0.51a からのバックアップファイルを Ver. 5.1.30 にリストアすると、log系のテーブルでエラーが出てしまいます。
バックアップファイルから、エラーが出たテーブルに関する箇所を削除してからリストアする必要がありました。
また、my.cnf の設定で skip-federated が無効化されていないと MySQL の起動に失敗します。
Copyright © 2004-2009 System House ACT. All Rights Reserved.
(Comments and Trackbacks each author is also exist Copyright.)
(Comments and Trackbacks each author is also exist Copyright.)
