System House ACT Weblog

RSS 1.0 RSS 2.0 ATOM 1.0

ログ監視ツール swatch を導入

最終更新日時 : 2009-01-24 09:18:02
DNSサーバーへの攻撃named.conf の blackhole による対応を行いましたが、攻撃を受けるごとにIPアドレスを登録して named を再起動というのはやってられません。

そこで、ログ監視ツール swatch を導入し、コマンド実行アクションで iptables によるブロックを行うようにしました。
構築情報は、以下になります。

http://www.system-act.com/server/swatch.html

なお、現時点ではブロックのスクリプトは単に
iptables によるブロック
・一定時間後にブロックを解除
を実現しているのみです。

swatch の導入に伴い、named.conf の blackhole はコメントアウトしました。

(以下、2009/01/20追記)

なぜか、swatch 導入後も 69.50.142.11 がブロックされないで syslog に

client 69.50.142.11#xxxxx: view external: query (cache) './NS/IN' denied

が延々と記録されています。

調べてみると、検出時に実行するスクリプトに問題がありました。
iptables への二重登録を防ぐため、念のために入れていた
iptables -L -n | grep "DROP.*$IPADDR" > /dev/null

ですが、これだと既に 69.50.142.110 が登録されていた場合、69.50.142.11 が二重登録と判定されてしまいます。
iptables -L -n | grep "DROP.* $IPADDR " > /dev/null

$IPADDR の前後に空白を入れなければなりません。

修正後、ブロックされるようになりました。
2009-01-19 12:20:03 投稿者:管理者コメントを追加する

この記事への参照記事

DNS サーバーへのアタック対策として導入したログ監視ツール swatch ですが、SSH サーバーへのアタック対策も swatch で行うようにしました。 それに伴い、アタックを受けた時に実行するスクリプトを共通で使用...
(2009-12-05)

この記事へのコメント

takosan さん
2009-01-23 15:22:17
すばらしい記事をありがとうございました。
同じようなログが山ほど来ていてうんざりしてました。
記事を参考に対策しましたので暫くはいけると思います。
管理者 さん
2009-01-24 09:18:02
takosan さん
少しでもお役立てたようで、嬉しく思っています。

Googleで検索してみたところ、ワールドワイドな出来事みたいですので、いずれプロバイダあたりが元から断ってくれるといいのですが…。

この記事へのコメントを追加する

 お手数ですが、チェックしてください → 

この記事へのトラックバック

トラックバックはありません。

この記事へのトラックバックを追加する

トラックバックの受付は終了しました。
Webサービス by Yahoo! JAPAN
サンワダイレクト
a System House to build an Accounting system by the Computer Technology