Logwatchの見方を教えて

このスレッドはクローズされています。記事の閲覧のみとなります。

Logwatchの見方を教えて

æ¥æï¼ 2009/11/19 15:55
ååï¼ hiyo

久しぶりに投稿します。毎日Logwatchを見るようにしていますが、何か異常が有るのかどうか今一分かっていません。たとえばSSHDを見ると何者かが何回もアタックしている様ですがこのままほっておいても問題ないのでしょうか？管理方法に付いて教えて頂けないでしょうか宜しくお願い致します。 ################### Logwatch 7.3.4 (02/17/07) #################### Processing Initiated: Thu Nov 19 04:39:46 2009 Date Range Processed: yesterday ( 2009-Nov-18 ) Period is day. Detail Level of Output: 0 Type of Output: unformatted Logfiles for Host: ******.******.jp ################################################################## --------------------- clam-update Begin ------------------------ Last ClamAV update process started at Wed Nov 18 14:02:10 2009 Last Status: WARNING: Your ClamAV installation is OUTDATED! WARNING: Local version: 0.92.1 Recommended version: 0.95.3 DON'T PANIC! Read http://www.clamav.net/support/faq main.cvd is up to date (version: 51, sigs: 545035, f-level: 42, builder: sven) Downloading daily-10034.cdiff [100%] Downloading daily-10035.cdiff [100%] Downloading daily-10036.cdiff [100%] Downloading daily-10037.cdiff [100%] daily.inc updated (version: 10037, sigs: 108080, f-level: 44, builder: ccordes) WARNING: Your ClamAV installation is OUTDATED! WARNING: Current functionality level = 26, recommended = 44 DON'T PANIC! Read http://www.clamav.net/support/faq Database updated (653115 signatures) from clamavdb.osj.net (IP: 218.44.253.75) ---------------------- clam-update End ------------------------- --------------------- Dovecot Begin ------------------------ Dovecot disconnects: Logged out: 20 Time(s) no reason: 2 Time(s) ---------------------- Dovecot End ------------------------- --------------------- httpd Begin ------------------------ Connection attempts using mod_proxy: 82.134.30.247 -> 205.188.251.11:443: 1 Time(s) 82.134.30.247 -> 205.188.251.16:443: 1 Time(s) 82.134.30.247 -> 205.188.251.21:443: 1 Time(s) 82.134.30.247 -> 205.188.251.26:443: 1 Time(s) 82.134.30.247 -> 205.188.251.31:443: 1 Time(s) 82.134.30.247 -> 205.188.251.36:443: 1 Time(s) 82.134.30.247 -> 205.188.251.43:443: 1 Time(s) 82.134.30.247 -> 64.12.161.153:443: 1 Time(s) 82.134.30.247 -> 64.12.200.89:443: 1 Time(s) Requests with error response codes 405 Method Not Allowed /TETSUJI: 4 Time(s) 205.188.251.11:443: 1 Time(s) 205.188.251.16:443: 1 Time(s) 205.188.251.21:443: 1 Time(s) 205.188.251.26:443: 1 Time(s) 205.188.251.31:443: 1 Time(s) 205.188.251.36:443: 1 Time(s) 205.188.251.43:443: 1 Time(s) 64.12.161.153:443: 1 Time(s) 64.12.200.89:443: 1 Time(s) ---------------------- httpd End ------------------------- --------------------- pam_unix Begin ------------------------ sshd: Authentication Failures: unknown (200-113-109-156.static.tie.cl): 66 Time(s) root (200-113-109-156.static.tie.cl): 15 Time(s) root (124.153.74.9): 4 Time(s) apache (200-113-109-156.static.tie.cl): 1 Time(s) ftp (200-113-109-156.static.tie.cl): 1 Time(s) nobody (200-113-109-156.static.tie.cl): 1 Time(s) postfix (200-113-109-156.static.tie.cl): 1 Time(s) Invalid Users: Unknown Account: 66 Time(s) ---------------------- pam_unix End ------------------------- --------------------- postfix Begin ------------------------ 1 *Warning: Pre-queue content-filter connection overload 130.235K Bytes accepted 133,361 111.049K Bytes delivered 113,714 ======== ================================================ 13 Accepted 100.00% -------- ------------------------------------------------ 13 Total 100.00% ======== ================================================ 10 Connections made 10 Disconnections 13 Removed from queue 2 Delivered 5 Sent via SMTP 6 Bounce (remote) 3 DSNs undeliverable ---------------------- postfix End ------------------------- --------------------- SSHD Begin ------------------------ Failed logins from: 124.153.74.9: 4 times 200.113.109.156 (200-113-109-156.static.tie.cl): 19 times Illegal users from: 200.113.109.156 (200-113-109-156.static.tie.cl): 66 times Received disconnect: 11: Bye Bye : 89 Time(s) **Unmatched Entries** Excess permission or bad ownership on file /var/log/btmp : 155 time(s) ---------------------- SSHD End ------------------------- --------------------- Disk Space Begin ------------------------ Filesystem Size Used Avail Use% Mounted on /dev/mapper/VolGroup00-LogVol00 142G 4.0G 131G 3% / /dev/sda1 99M 20M 75M 21% /boot ---------------------- Disk Space End ------------------------- ###################### Logwatch End #########################

Page: [1] [2]

■ コンテンツ関連情報

Re: Logwatchの見方を教えて ( No.1 )

æ¥æï¼ 2009/11/19 23:20
ååï¼ ももんが

>Failed logins from: >  124.153.74.9: 4 times >  200.113.109.156 (200-113-109-156.static.tie.cl): 19 times 124.153.74.9: 4と200.113.109.156のIPの人がログイン失敗。19回。 >Illegal users from: >  200.113.109.156 (200-113-109-156.static.tie.cl): 66 times 200.113.109.156の人が、不正にログイン。66回。 200.113.109.156ってhiyo さんのIPだよね。きっと。

Re: Logwatchの見方を教えて ( No.2 )

æ¥æï¼ 2009/11/20 08:28
ååï¼ あ

--------------------- pam_unix Begin ------------------------ sshd:   Authentication Failures:     unknown (200-113-109-156.static.tie.cl): 66 Time(s)     root (200-113-109-156.static.tie.cl): 15 Time(s)     root (124.153.74.9): 4 Time(s)     apache (200-113-109-156.static.tie.cl): 1 Time(s)     ftp (200-113-109-156.static.tie.cl): 1 Time(s)     nobody (200-113-109-156.static.tie.cl): 1 Time(s)     postfix (200-113-109-156.static.tie.cl): 1 Time(s)   Invalid Users:     Unknown Account: 66 Time(s) ---------------------- pam_unix End ------------------------- --------------------- SSHD Begin ------------------------ Failed logins from:   124.153.74.9: 4 times   200.113.109.156 (200-113-109-156.static.tie.cl): 19 times Illegal users from:   200.113.109.156 (200-113-109-156.static.tie.cl): 66 times Received disconnect:   11: Bye Bye : 89 Time(s) **Unmatched Entries** Excess permission or bad ownership on file /var/log/btmp : 155 time(s) ---------------------- SSHD End ------------------------- 適当な事を言っちゃ駄目だよ〜 200.113.109.156のIPのやつがアカウント変えてログインを繰り返してるじゃん！スレ主がチリに住んでたら間違いではないが・・・ ------------------------------------------------------------------------ IPアドレス＝＞「 200.113.109.156 」ホスト名変換＝＞「 200-113-109-156.static.tie.cl 」 ------------------------------------------------------------------------ IPアドレス問合せ先「 whois.lacnic.net  （ラテンアメリカおよびカリブ海）」取得時間は 0.668秒 [Querying whois.lacnic.net] [whois.lacnic.net] % Joint Whois - whois.lacnic.net % This server accepts single ASN, IPv4 or IPv6 queries % LACNIC resource: whois.lacnic.net % Copyright LACNIC lacnic.net % The data below is provided for information purposes % and to assist persons in obtaining information about or % related to AS and IP numbers registrations % By submitting a whois query, you agree to use this data % only for lawful purposes. % 2009-11-19 21:20:04 (BRST -02:00) inetnum: 200.113.109.152/29 status: reallocated owner: COMPUTEC CHILE S.A ownerid: CL-CCSA54-LACNIC responsible: Operacones ISP TIE address: San Mart穝, 50, Piso 6 address: 8340526 - Santiago - RM country: CL   → （チリ） phone: +56 2 7701400 [] owner-c: OTE tech-c: OTE abuse-c: OTE created: 20091005 changed: 20091005 inetnum-up: 200.113.96/19 nic-hdl: OTE person: Operaciones Telefonica Internet Empresas e-mail: oper@ISP.TIE.CL address: San Martin 50, Piso 5, 50, address: 02 - Santiago - RM country: CL   → （チリ） phone: +56 02 6911620 [] created: 20060215 changed: 20060215 TCP wrapperでアクセスできるホストを制限してる？他にiptablesでport22番へのアクセスを国外からは拒否するようするとか外部からリモート操作しないのであればルーターのport22番を閉じるとかちなみに200.113.109.156にアクセスすると以下

Re: Logwatchの見方を教えて ( No.3 )

æ¥æï¼ 2009/11/20 18:23
ååï¼ hiyo

ももんがさん、あさん、ありがとうございます。 IPアドレス＝＞「 200.113.109.156 」スレ主がチリに住んでたら間違いではないが・・・「hiyo」は日本に生まれ、今も住んでますヨーと言う事はひょっとするとえらいことになっている？ホームページを公開する目的でサーバーを立てたのでローカル以外を遮断することは意味がありません。今、不正侵入者を/etc/hosts.aiiow、denyで防ごうかと思っています。ところで、一つ疑問があります。「whoisw」で「 200.113.109.156 」を調べると確かに「static.tie.cl」と出ますが、私の「hiyo」のIPアドレスを「whoisw」で調べると ************************************************************* あなたのIPアドレス： 120.51.47.248 テスト日時： 2009/11/20 16:44:46 ------------------------------------------------------------------------ IPアドレス＝＞「 120.51.47.248 」ホスト名変換＝＞「 w7d248.BN8.vectant.ne.jp 」 ------------------------------------------------------------------------ IPアドレス問合せ先「 whois.apnic.net  （アジア/太平洋圏）」取得時間は 0.304秒 [Querying whois.apnic.net] [whois.apnic.net] % [whois.apnic.net node-1] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 120.51.0.0 - 120.51.255.255 netname: Vectant descr: VECTANT Ltd. descr: Daiichi Tekko Building4F,1-8-2Marunouchi,Chiyoda-ku,Tokyo,100-0005 Japan country: JP   → （日本） admin-c: JNIC1-AP tech-c: JNIC1-AP status: ALLOCATED PORTABLE remarks: Email address for spam or abuse complaints : abuse@vectant.ne.jp mnt-by: MAINT-JPNIC mnt-lower: MAINT-JPNIC changed: hm-changed@apnic.net 20080320 changed: ip-apnic@nic.ad.jp 20090908 source: APNIC role: Japan Network Information Center address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda address: Chiyoda-ku, Tokyo 101-0047, Japan country: JP   → （日本） phone: +81-3-5297-2311 fax-no: +81-3-5297-2312 e-mail: hostmaster@nic.ad.jp admin-c: JI13-AP tech-c: JE53-AP nic-hdl: JNIC1-AP mnt-by: MAINT-JPNIC changed: hm-changed@apnic.net 20041222 changed: hm-changed@apnic.net 20050324 changed: ip-apnic@nic.ad.jp 20051027 source: APNIC inetnum: 120.51.47.0 - 120.51.47.255 netname: V-FLETS descr: VECTANT Ltd. country: JP   → （日本） admin-c: IH010JP tech-c: MA2355JP remarks: This information has been partially mirrored by APNIC from remarks: JPNIC. To obtain more specific information, please use the remarks: JPNIC WHOIS Gateway at remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client remarks: defaults to Japanese output, use the /e switch for English remarks: output) changed: apnic-ftp@nic.ad.jp 20080804 source: JPNIC ****************************************************** の様になり IPアドレス＝＞「 120.51.47.248 」ホスト名変換＝＞「 w7d248.BN8.vectant.ne.jp 」は「hiyo」のホスト名ではありません。 IPアドレスは固定IPではなく、DDNS「DynDns」で自動変換していますので、これで正常なのかどうなのか今一分かっていません。現在サーバーを3台持っています。それぞれ3台共ホスト名は異なりますが、（あたりまえ(^^!） IPアドレスは3台共「 120.51.47.248 」です。プロバイダーが1カ所の場合、この様に同じなのでしょうか？

Re: Logwatchの見方を教えて ( No.4 )

æ¥æï¼ 2009/11/20 18:55
ååï¼ あ

お使いのプロバイダがヴェクタントだから当然です。 http://www.vectant.co.jp/ IP逆引きのサービスを行っているプロバイダでもない限り無理、更に非固定IPではありえない。前述した通りで外部からサーバーをリモート操作しないのであればport22番を閉じればいい。ホームページ公開だけなら80番のみで開ければいいかと。

Re: Logwatchの見方を教えて ( No.5 )

æ¥æï¼ 2009/11/20 22:58
ååï¼ ももんが

SSHって鍵認証とパスワード認証があるけど、鍵認証にしてある？鍵認証で不正ログインされるとは思えないのですが、、、、いずれにしても、大変危ない状況でしょう。これは、、、

Page: [1] [2]

■ その他

ページ先頭へ

Re: Logwatchの見方を教えて ( No.1 )
æ¥æï¼ 2009/11/19 23:20 ååï¼ ももんが `>Failed logins from: > 124.153.74.9: 4 times > 200.113.109.156 (200-113-109-156.static.tie.cl): 19 times 124.153.74.9: 4と200.113.109.156のIPの人がログイン失敗。19回。 >Illegal users from: > 200.113.109.156 (200-113-109-156.static.tie.cl): 66 times 200.113.109.156の人が、不正にログイン。66回。 200.113.109.156ってhiyo さんのIPだよね。きっと。`
Re: Logwatchの見方を教えて ( No.2 )
æ¥æï¼ 2009/11/20 08:28 ååï¼ あ --------------------- pam_unix Begin ------------------------ sshd: Authentication Failures: unknown (200-113-109-156.static.tie.cl): 66 Time(s) root (200-113-109-156.static.tie.cl): 15 Time(s) root (124.153.74.9): 4 Time(s) apache (200-113-109-156.static.tie.cl): 1 Time(s) ftp (200-113-109-156.static.tie.cl): 1 Time(s) nobody (200-113-109-156.static.tie.cl): 1 Time(s) postfix (200-113-109-156.static.tie.cl): 1 Time(s) Invalid Users: Unknown Account: 66 Time(s) ---------------------- pam_unix End ------------------------- --------------------- SSHD Begin ------------------------ Failed logins from: 124.153.74.9: 4 times 200.113.109.156 (200-113-109-156.static.tie.cl): 19 times Illegal users from: 200.113.109.156 (200-113-109-156.static.tie.cl): 66 times Received disconnect: 11: Bye Bye : 89 Time(s) Unmatched Entries Excess permission or bad ownership on file /var/log/btmp : 155 time(s) ---------------------- SSHD End ------------------------- 適当な事を言っちゃ駄目だよ〜 200.113.109.156のIPのやつがアカウント変えてログインを繰り返してるじゃん！スレ主がチリに住んでたら間違いではないが・・・ ------------------------------------------------------------------------ IPアドレス＝＞「 200.113.109.156 」ホスト名変換＝＞「 200-113-109-156.static.tie.cl 」 ------------------------------------------------------------------------ IPアドレス問合せ先「 whois.lacnic.net （ラテンアメリカおよびカリブ海）」取得時間は 0.668秒 [Querying whois.lacnic.net] [whois.lacnic.net] % Joint Whois - whois.lacnic.net % This server accepts single ASN, IPv4 or IPv6 queries % LACNIC resource: whois.lacnic.net % Copyright LACNIC lacnic.net % The data below is provided for information purposes % and to assist persons in obtaining information about or % related to AS and IP numbers registrations % By submitting a whois query, you agree to use this data % only for lawful purposes. % 2009-11-19 21:20:04 (BRST -02:00) inetnum: 200.113.109.152/29 status: reallocated owner: COMPUTEC CHILE S.A ownerid: CL-CCSA54-LACNIC responsible: Operacones ISP TIE address: San Mart穝, 50, Piso 6 address: 8340526 - Santiago - RM country: CL → （チリ） phone: +56 2 7701400 [] owner-c: OTE tech-c: OTE abuse-c: OTE created: 20091005 changed: 20091005 inetnum-up: 200.113.96/19 nic-hdl: OTE person: Operaciones Telefonica Internet Empresas e-mail: oper@ISP.TIE.CL address: San Martin 50, Piso 5, 50, address: 02 - Santiago - RM country: CL → （チリ） phone: +56 02 6911620 [] created: 20060215 changed: 20060215 TCP wrapperでアクセスできるホストを制限してる？他にiptablesでport22番へのアクセスを国外からは拒否するようするとか外部からリモート操作しないのであればルーターのport22番を閉じるとかちなみに200.113.109.156にアクセスすると以下
Re: Logwatchの見方を教えて ( No.3 )
æ¥æï¼ 2009/11/20 18:23 ååï¼ hiyo ももんがさん、あさん、ありがとうございます。 IPアドレス＝＞「 200.113.109.156 」スレ主がチリに住んでたら間違いではないが・・・「hiyo」は日本に生まれ、今も住んでますヨーと言う事はひょっとするとえらいことになっている？ホームページを公開する目的でサーバーを立てたのでローカル以外を遮断することは意味がありません。今、不正侵入者を/etc/hosts.aiiow、denyで防ごうかと思っています。ところで、一つ疑問があります。「whoisw」で「 200.113.109.156 」を調べると確かに「static.tie.cl」と出ますが、私の「hiyo」のIPアドレスを「whoisw」で調べると *********************************************************** あなたのIPアドレス： 120.51.47.248 テスト日時： 2009/11/20 16:44:46 ------------------------------------------------------------------------ IPアドレス＝＞「 120.51.47.248 」ホスト名変換＝＞「 w7d248.BN8.vectant.ne.jp 」 ------------------------------------------------------------------------ IPアドレス問合せ先「 whois.apnic.net （アジア/太平洋圏）」取得時間は 0.304秒 [Querying whois.apnic.net] [whois.apnic.net] % [whois.apnic.net node-1] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 120.51.0.0 - 120.51.255.255 netname: Vectant descr: VECTANT Ltd. descr: Daiichi Tekko Building4F,1-8-2Marunouchi,Chiyoda-ku,Tokyo,100-0005 Japan country: JP → （日本） admin-c: JNIC1-AP tech-c: JNIC1-AP status: ALLOCATED PORTABLE remarks: Email address for spam or abuse complaints : abuse@vectant.ne.jp mnt-by: MAINT-JPNIC mnt-lower: MAINT-JPNIC changed: hm-changed@apnic.net 20080320 changed: ip-apnic@nic.ad.jp 20090908 source: APNIC role: Japan Network Information Center address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda address: Chiyoda-ku, Tokyo 101-0047, Japan country: JP → （日本） phone: +81-3-5297-2311 fax-no: +81-3-5297-2312 e-mail: hostmaster@nic.ad.jp admin-c: JI13-AP tech-c: JE53-AP nic-hdl: JNIC1-AP mnt-by: MAINT-JPNIC changed: hm-changed@apnic.net 20041222 changed: hm-changed@apnic.net 20050324 changed: ip-apnic@nic.ad.jp 20051027 source: APNIC inetnum: 120.51.47.0 - 120.51.47.255 netname: V-FLETS descr: VECTANT Ltd. country: JP → （日本） admin-c: IH010JP tech-c: MA2355JP remarks: This information has been partially mirrored by APNIC from remarks: JPNIC. To obtain more specific information, please use the remarks: JPNIC WHOIS Gateway at remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client remarks: defaults to Japanese output, use the /e switch for English remarks: output) changed: apnic-ftp@nic.ad.jp 20080804 source: JPNIC **************************************************** の様になり IPアドレス＝＞「 120.51.47.248 」ホスト名変換＝＞「 w7d248.BN8.vectant.ne.jp 」は「hiyo」のホスト名ではありません。 IPアドレスは固定IPではなく、DDNS「DynDns」で自動変換していますので、これで正常なのかどうなのか今一分かっていません。現在サーバーを3台持っています。それぞれ3台共ホスト名は異なりますが、（あたりまえ(^^!） IPアドレスは3台共「 120.51.47.248 」です。プロバイダーが1カ所の場合、この様に同じなのでしょうか？
Re: Logwatchの見方を教えて ( No.4 )
æ¥æï¼ 2009/11/20 18:55 ååï¼ あ `お使いのプロバイダがヴェクタントだから当然です。 http://www.vectant.co.jp/ IP逆引きのサービスを行っているプロバイダでもない限り無理、更に非固定IPではありえない。前述した通りで外部からサーバーをリモート操作しないのであればport22番を閉じればいい。ホームページ公開だけなら80番のみで開ければいいかと。`
Re: Logwatchの見方を教えて ( No.5 )
æ¥æï¼ 2009/11/20 22:58 ååï¼ ももんが `SSHって鍵認証とパスワード認証があるけど、鍵認証にしてある？鍵認証で不正ログインされるとは思えないのですが、、、、いずれにしても、大変危ない状況でしょう。これは、、、`