はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/01/16
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 当サイト情報 >> スレッド

このページは表示専用です。新規投稿・レスや最新情報はこちらです。

このスレッドはクローズされています。記事の閲覧のみとなります。

 Logwatchの見方を教えて
日時: 2009/11/19 15:55
名前: hiyo

久しぶりに投稿します。

毎日Logwatchを見るようにしていますが、
何か異常が有るのかどうか今一分かっていません。

たとえばSSHDを見ると何者かが何回もアタックしている様ですが
このままほっておいても問題ないのでしょうか?

管理方法に付いて教えて頂けないでしょうか
宜しくお願い致します。

################### Logwatch 7.3.4 (02/17/07) ####################
    Processing Initiated: Thu Nov 19 04:39:46 2009
    Date Range Processed: yesterday
               ( 2009-Nov-18 )
               Period is day.
   Detail Level of Output: 0
       Type of Output: unformatted
      Logfiles for Host: ******.******.jp
 ##################################################################

--------------------- clam-update Begin ------------------------

Last ClamAV update process started at Wed Nov 18 14:02:10 2009

Last Status:
  WARNING: Your ClamAV installation is OUTDATED!
  WARNING: Local version: 0.92.1 Recommended version: 0.95.3
  DON'T PANIC! Read http://www.clamav.net/support/faq
  main.cvd is up to date (version: 51, sigs: 545035, f-level: 42, builder: sven)
  Downloading daily-10034.cdiff [100%]
  Downloading daily-10035.cdiff [100%]
  Downloading daily-10036.cdiff [100%]
  Downloading daily-10037.cdiff [100%]
  daily.inc updated (version: 10037, sigs: 108080, f-level: 44, builder: ccordes)
  WARNING: Your ClamAV installation is OUTDATED!
  WARNING: Current functionality level = 26, recommended = 44
  DON'T PANIC! Read http://www.clamav.net/support/faq
  Database updated (653115 signatures) from clamavdb.osj.net (IP: 218.44.253.75)

---------------------- clam-update End -------------------------


--------------------- Dovecot Begin ------------------------



Dovecot disconnects:
  Logged out: 20 Time(s)
  no reason: 2 Time(s)
---------------------- Dovecot End -------------------------


--------------------- httpd Begin ------------------------


Connection attempts using mod_proxy:
  82.134.30.247 -> 205.188.251.11:443: 1 Time(s)
  82.134.30.247 -> 205.188.251.16:443: 1 Time(s)
  82.134.30.247 -> 205.188.251.21:443: 1 Time(s)
  82.134.30.247 -> 205.188.251.26:443: 1 Time(s)
  82.134.30.247 -> 205.188.251.31:443: 1 Time(s)
  82.134.30.247 -> 205.188.251.36:443: 1 Time(s)
  82.134.30.247 -> 205.188.251.43:443: 1 Time(s)
  82.134.30.247 -> 64.12.161.153:443: 1 Time(s)
  82.134.30.247 -> 64.12.200.89:443: 1 Time(s)

Requests with error response codes
  405 Method Not Allowed
    /TETSUJI: 4 Time(s)
    205.188.251.11:443: 1 Time(s)
    205.188.251.16:443: 1 Time(s)
    205.188.251.21:443: 1 Time(s)
    205.188.251.26:443: 1 Time(s)
    205.188.251.31:443: 1 Time(s)
    205.188.251.36:443: 1 Time(s)
    205.188.251.43:443: 1 Time(s)
    64.12.161.153:443: 1 Time(s)
    64.12.200.89:443: 1 Time(s)

---------------------- httpd End -------------------------


--------------------- pam_unix Begin ------------------------

sshd:
  Authentication Failures:
    unknown (200-113-109-156.static.tie.cl): 66 Time(s)
    root (200-113-109-156.static.tie.cl): 15 Time(s)
    root (124.153.74.9): 4 Time(s)
    apache (200-113-109-156.static.tie.cl): 1 Time(s)
    ftp (200-113-109-156.static.tie.cl): 1 Time(s)
    nobody (200-113-109-156.static.tie.cl): 1 Time(s)
    postfix (200-113-109-156.static.tie.cl): 1 Time(s)
  Invalid Users:
    Unknown Account: 66 Time(s)


---------------------- pam_unix End -------------------------


--------------------- postfix Begin ------------------------

    1  *Warning: Pre-queue content-filter connection overload

 130.235K Bytes accepted              133,361
 111.049K Bytes delivered             113,714
========  ================================================

    13  Accepted                 100.00%
--------  ------------------------------------------------
    13  Total                  100.00%
========  ================================================

    10  Connections made   
    10  Disconnections    
    13  Removed from queue  
    2  Delivered      
    5  Sent via SMTP    
    6  Bounce (remote)   
    3  DSNs undeliverable  



---------------------- postfix End -------------------------


--------------------- SSHD Begin ------------------------


Failed logins from:
  124.153.74.9: 4 times
  200.113.109.156 (200-113-109-156.static.tie.cl): 19 times

Illegal users from:
  200.113.109.156 (200-113-109-156.static.tie.cl): 66 times


Received disconnect:
  11: Bye Bye : 89 Time(s)

**Unmatched Entries**
Excess permission or bad ownership on file /var/log/btmp : 155 time(s)

---------------------- SSHD End -------------------------


--------------------- Disk Space Begin ------------------------

Filesystem      Size Used Avail Use% Mounted on
/dev/mapper/VolGroup00-LogVol00
            142G 4.0G 131G  3% /
/dev/sda1       99M  20M  75M 21% /boot


---------------------- Disk Space End -------------------------


###################### Logwatch End #########################

■ コンテンツ関連情報

 Re: Logwatchの見方を教えて ( No.1 )
日時: 2009/11/19 23:20
名前: ももんが

>Failed logins from:
>  124.153.74.9: 4 times
>  200.113.109.156 (200-113-109-156.static.tie.cl): 19 times


124.153.74.9: 4と200.113.109.156のIPの人がログイン失敗。19回。


>Illegal users from:
>  200.113.109.156 (200-113-109-156.static.tie.cl): 66 times



200.113.109.156の人が、不正にログイン。66回。


200.113.109.156ってhiyo さんのIPだよね。きっと。
 Re: Logwatchの見方を教えて ( No.2 )
日時: 2009/11/20 08:28
名前: あ


--------------------- pam_unix Begin ------------------------

sshd:
  Authentication Failures:
    unknown (200-113-109-156.static.tie.cl): 66 Time(s)
    root (200-113-109-156.static.tie.cl): 15 Time(s)
    root (124.153.74.9): 4 Time(s)
    apache (200-113-109-156.static.tie.cl): 1 Time(s)
    ftp (200-113-109-156.static.tie.cl): 1 Time(s)
    nobody (200-113-109-156.static.tie.cl): 1 Time(s)
    postfix (200-113-109-156.static.tie.cl): 1 Time(s)
  Invalid Users:
    Unknown Account: 66 Time(s)


---------------------- pam_unix End -------------------------



--------------------- SSHD Begin ------------------------


Failed logins from:
  124.153.74.9: 4 times
  200.113.109.156 (200-113-109-156.static.tie.cl): 19 times

Illegal users from:
  200.113.109.156 (200-113-109-156.static.tie.cl): 66 times


Received disconnect:
  11: Bye Bye : 89 Time(s)

**Unmatched Entries**
Excess permission or bad ownership on file /var/log/btmp : 155 time(s)

---------------------- SSHD End -------------------------


適当な事を言っちゃ駄目だよ〜
200.113.109.156のIPのやつがアカウント変えてログインを繰り返してるじゃん!
スレ主がチリに住んでたら間違いではないが・・・

------------------------------------------------------------------------

IPアドレス => 「 200.113.109.156 」
ホスト名変換 => 「 200-113-109-156.static.tie.cl 」

------------------------------------------------------------------------
IPアドレス問合せ先 「 whois.lacnic.net  (ラテンアメリカおよびカリブ海) 」
取得時間は 0.668秒

[Querying whois.lacnic.net]
[whois.lacnic.net]

% Joint Whois - whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries

% LACNIC resource: whois.lacnic.net


% Copyright LACNIC lacnic.net
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2009-11-19 21:20:04 (BRST -02:00)

inetnum: 200.113.109.152/29
status: reallocated
owner: COMPUTEC CHILE S.A
ownerid: CL-CCSA54-LACNIC
responsible: Operacones ISP TIE
address: San Mart?, 50, Piso 6
address: 8340526 - Santiago - RM
country: CL   → (チリ)
phone: +56 2 7701400 []
owner-c: OTE
tech-c: OTE
abuse-c: OTE
created: 20091005
changed: 20091005
inetnum-up: 200.113.96/19

nic-hdl: OTE
person: Operaciones Telefonica Internet Empresas
e-mail: oper@ISP.TIE.CL
address: San Martin 50, Piso 5, 50,
address: 02 - Santiago - RM
country: CL   → (チリ)
phone: +56 02 6911620 []
created: 20060215
changed: 20060215




TCP wrapperでアクセスできるホストを制限してる?
他にiptablesでport22番へのアクセスを国外からは拒否するようするとか
外部からリモート操作しないのであればルーターのport22番を閉じるとか

ちなみに200.113.109.156にアクセスすると以下
 Re: Logwatchの見方を教えて ( No.3 )
日時: 2009/11/20 18:23
名前: hiyo


ももんがさん、あさん、ありがとうございます。

IPアドレス => 「 200.113.109.156 」
スレ主がチリに住んでたら間違いではないが・・・

「hiyo」は日本に生まれ、今も住んでますヨー

と言う事はひょっとするとえらいことになっている?

ホームページを公開する目的でサーバーを立てたので
ローカル以外を遮断することは意味がありません。

今、不正侵入者を/etc/hosts.aiiow、denyで防ごうかと思っています。

ところで、一つ疑問があります。
「whoisw」で「 200.113.109.156 」を調べると確かに「static.tie.cl」
と出ますが、


私の「hiyo」のIPアドレスを「whoisw」で調べると

*************************************************************

あなたのIPアドレス : 120.51.47.248
テスト日時 : 2009/11/20 16:44:46

------------------------------------------------------------------------

IPアドレス => 「 120.51.47.248 」
ホスト名変換 => 「 w7d248.BN8.vectant.ne.jp 」

------------------------------------------------------------------------
IPアドレス問合せ先 「 whois.apnic.net  (アジア/太平洋圏) 」
取得時間は 0.304秒

[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 120.51.0.0 - 120.51.255.255
netname: Vectant
descr: VECTANT Ltd.
descr: Daiichi Tekko Building4F,1-8-2Marunouchi,Chiyoda-ku,Tokyo,100-0005 Japan
country: JP   → (日本)
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : abuse@vectant.ne.jp
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
changed: hm-changed@apnic.net 20080320
changed: ip-apnic@nic.ad.jp 20090908
source: APNIC

role: Japan Network Information Center
address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
country: JP   → (日本)
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
source: APNIC

inetnum: 120.51.47.0 - 120.51.47.255
netname: V-FLETS
descr: VECTANT Ltd.
country: JP   → (日本)
admin-c: IH010JP
tech-c: MA2355JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20080804
source: JPNIC

******************************************************

の様になり

IPアドレス => 「 120.51.47.248 」
ホスト名変換 => 「 w7d248.BN8.vectant.ne.jp 」

は「hiyo」のホスト名ではありません。

IPアドレスは固定IPではなく、DDNS「DynDns」で自動変換していますので、
これで正常なのかどうなのか今一分かっていません。

現在サーバーを3台持っています。
それぞれ3台共ホスト名は異なりますが、(あたりまえ(^^!)
IPアドレスは3台共「 120.51.47.248 」です。

プロバイダーが1カ所の場合、この様に同じなのでしょうか?
 Re: Logwatchの見方を教えて ( No.4 )
日時: 2009/11/20 18:55
名前: あ

お使いのプロバイダがヴェクタントだから当然です。
http://www.vectant.co.jp/
IP逆引きのサービスを行っているプロバイダでもない限り無理、更に非固定IPではありえない。

前述した通りで外部からサーバーをリモート操作しないのであればport22番を閉じればいい。
ホームページ公開だけなら80番のみで開ければいいかと。
 Re: Logwatchの見方を教えて ( No.5 )
日時: 2009/11/20 22:58
名前: ももんが

SSHって鍵認証とパスワード認証があるけど、鍵認証にしてある?

鍵認証で不正ログインされるとは思えないのですが、、、、

いずれにしても、大変危ない状況でしょう。これは、、、
 Re: Logwatchの見方を教えて ( No.6 )
日時: 2009/11/21 09:55
名前: hiyo


「お使いのプロバイダがヴェクタントだから当然です。」に付いてですが、

「hiyo」の契約しているプロバイダーは大塚商会の「αWebアルファウエブ」です。
   https://online.alpha-web.jp/aweb/aweb_f/index.asp

大塚商会とヴェクタントは同じ会社又はグループということでしょうか?

それと、sshdのサービスは停止しているはずですが、再度確認してみます。
 Re: Logwatchの見方を教えて ( No.7 )
日時: 2009/11/21 15:58
名前: 中学生管理者

>IPアドレス => 「 120.51.47.248 」
>ホスト名変換 => 「 w7d248.BN8.vectant.ne.jp 」
>
>は「hiyo」のホスト名ではありません。
>
>IPアドレスは固定IPではなく、DDNS「DynDns」で自動変換していますので、
>これで正常なのかどうなのか今一分かっていません。


それで正常です。

w7d248.BN8.vectant.ne.jp は
プロバイダがつけた120.51.47.248に対するホスト名です。

非固定ということはIPを使いまわしているわけでhiyoさん専用の
IPがあるわけじゃない。簡単に言うとみんなで交代々々で
使ってるわけです。だから逆引きしたときにhiyoさんの
ホスト名が出るように固定することはできないんですよ。
ただ逆引きできないと困ることもあるので、プロバイダが逆引き用の
ホスト名をIP毎につけているわけです。何かのタイミングでhiyoさんの
回線へ別のIPが割り振られると、別の逆引き名になります。

>それと、sshdのサービスは停止しているはずですが、再度確認してみます。

誰もサービスを停止しろとは言ってないです。必要がないところへの
ポートは閉じた方がいいということ。WANから使わないなら
ルーターでポートを閉じればいいし、国内からしか使わないなら
日本からだけ許可するとか、決まったIPからしか使わないなら特定の
IPだけ許可するとか。iptablesで設定できます。(細かいことは自分で調べてください。)
 Re: Logwatchの見方を教えて ( No.8 )
日時: 2009/11/23 18:40
名前: hiyo

今朝、ホームページの画像のリンクの異常に気付き、
リンク切れのファイルの確認後、再起動しました所、
Linuxが立ち上がらなくなってしまいました。

完全にヤラレタのかもしれません。

起動時に赤色でエラーが沢山表示され、
アカウントとパスワードを入力すると、
「ユーザー情報の保存ファイルが見つかりません」
の様な趣旨のエラーが表示されました。
一度だけ見ましたので正確な表現ではありません(^^!)

この状態を私の能力で解決出来そうにありませんので、
インストールからやり直した方が速そうです。

数日前からルーターのWANからの開封ポートは80だけにしていたのに
既に間に合わなかったらしい。
昨日のLogwatchでは、不正侵入が600を超えていました。

この件に関してスレッドを閉じます。
参考意見を多数頂きありがとうございました。
お礼申し上げます。

■ その他

ページ先頭へ


Copyright(©)2004-2018 First home server construction. All Right Reserved.