このスレッドはクローズされています。記事の閲覧のみとなります。
Logwatchの見方を教えて |
|
- æ¥æï¼ 2009/11/19 15:55
- ååï¼ hiyo
- 久しぶりに投稿します。
毎日Logwatchを見るようにしていますが、 何か異常が有るのかどうか今一分かっていません。
たとえばSSHDを見ると何者かが何回もアタックしている様ですが このままほっておいても問題ないのでしょうか?
管理方法に付いて教えて頂けないでしょうか 宜しくお願い致します。
################### Logwatch 7.3.4 (02/17/07) #################### Processing Initiated: Thu Nov 19 04:39:46 2009 Date Range Processed: yesterday ( 2009-Nov-18 ) Period is day. Detail Level of Output: 0 Type of Output: unformatted Logfiles for Host: ******.******.jp ################################################################## --------------------- clam-update Begin ------------------------
Last ClamAV update process started at Wed Nov 18 14:02:10 2009 Last Status: WARNING: Your ClamAV installation is OUTDATED! WARNING: Local version: 0.92.1 Recommended version: 0.95.3 DON'T PANIC! Read http://www.clamav.net/support/faq main.cvd is up to date (version: 51, sigs: 545035, f-level: 42, builder: sven) Downloading daily-10034.cdiff [100%] Downloading daily-10035.cdiff [100%] Downloading daily-10036.cdiff [100%] Downloading daily-10037.cdiff [100%] daily.inc updated (version: 10037, sigs: 108080, f-level: 44, builder: ccordes) WARNING: Your ClamAV installation is OUTDATED! WARNING: Current functionality level = 26, recommended = 44 DON'T PANIC! Read http://www.clamav.net/support/faq Database updated (653115 signatures) from clamavdb.osj.net (IP: 218.44.253.75) ---------------------- clam-update End -------------------------
--------------------- Dovecot Begin ------------------------
Dovecot disconnects: Logged out: 20 Time(s) no reason: 2 Time(s) ---------------------- Dovecot End -------------------------
--------------------- httpd Begin ------------------------
Connection attempts using mod_proxy: 82.134.30.247 -> 205.188.251.11:443: 1 Time(s) 82.134.30.247 -> 205.188.251.16:443: 1 Time(s) 82.134.30.247 -> 205.188.251.21:443: 1 Time(s) 82.134.30.247 -> 205.188.251.26:443: 1 Time(s) 82.134.30.247 -> 205.188.251.31:443: 1 Time(s) 82.134.30.247 -> 205.188.251.36:443: 1 Time(s) 82.134.30.247 -> 205.188.251.43:443: 1 Time(s) 82.134.30.247 -> 64.12.161.153:443: 1 Time(s) 82.134.30.247 -> 64.12.200.89:443: 1 Time(s) Requests with error response codes 405 Method Not Allowed /TETSUJI: 4 Time(s) 205.188.251.11:443: 1 Time(s) 205.188.251.16:443: 1 Time(s) 205.188.251.21:443: 1 Time(s) 205.188.251.26:443: 1 Time(s) 205.188.251.31:443: 1 Time(s) 205.188.251.36:443: 1 Time(s) 205.188.251.43:443: 1 Time(s) 64.12.161.153:443: 1 Time(s) 64.12.200.89:443: 1 Time(s) ---------------------- httpd End -------------------------
--------------------- pam_unix Begin ------------------------
sshd: Authentication Failures: unknown (200-113-109-156.static.tie.cl): 66 Time(s) root (200-113-109-156.static.tie.cl): 15 Time(s) root (124.153.74.9): 4 Time(s) apache (200-113-109-156.static.tie.cl): 1 Time(s) ftp (200-113-109-156.static.tie.cl): 1 Time(s) nobody (200-113-109-156.static.tie.cl): 1 Time(s) postfix (200-113-109-156.static.tie.cl): 1 Time(s) Invalid Users: Unknown Account: 66 Time(s) ---------------------- pam_unix End -------------------------
--------------------- postfix Begin ------------------------
1 *Warning: Pre-queue content-filter connection overload 130.235K Bytes accepted 133,361 111.049K Bytes delivered 113,714 ======== ================================================ 13 Accepted 100.00% -------- ------------------------------------------------ 13 Total 100.00% ======== ================================================ 10 Connections made 10 Disconnections 13 Removed from queue 2 Delivered 5 Sent via SMTP 6 Bounce (remote) 3 DSNs undeliverable ---------------------- postfix End -------------------------
--------------------- SSHD Begin ------------------------
Failed logins from: 124.153.74.9: 4 times 200.113.109.156 (200-113-109-156.static.tie.cl): 19 times Illegal users from: 200.113.109.156 (200-113-109-156.static.tie.cl): 66 times Received disconnect: 11: Bye Bye : 89 Time(s) **Unmatched Entries** Excess permission or bad ownership on file /var/log/btmp : 155 time(s) ---------------------- SSHD End -------------------------
--------------------- Disk Space Begin ------------------------
Filesystem Size Used Avail Use% Mounted on /dev/mapper/VolGroup00-LogVol00 142G 4.0G 131G 3% / /dev/sda1 99M 20M 75M 21% /boot ---------------------- Disk Space End -------------------------
###################### Logwatch End #########################
|
■ コンテンツ関連情報
Re: Logwatchの見方を教えて ( No.1 ) |
|
- æ¥æï¼ 2009/11/19 23:20
- ååï¼ ももんが
- >Failed logins from:
> 124.153.74.9: 4 times > 200.113.109.156 (200-113-109-156.static.tie.cl): 19 times
124.153.74.9: 4と200.113.109.156のIPの人がログイン失敗。19回。
>Illegal users from: > 200.113.109.156 (200-113-109-156.static.tie.cl): 66 times
200.113.109.156の人が、不正にログイン。66回。
200.113.109.156ってhiyo さんのIPだよね。きっと。
|
Re: Logwatchの見方を教えて ( No.2 ) |
|
- æ¥æï¼ 2009/11/20 08:28
- ååï¼ あ
--------------------- pam_unix Begin ------------------------
sshd: Authentication Failures: unknown (200-113-109-156.static.tie.cl): 66 Time(s) root (200-113-109-156.static.tie.cl): 15 Time(s) root (124.153.74.9): 4 Time(s) apache (200-113-109-156.static.tie.cl): 1 Time(s) ftp (200-113-109-156.static.tie.cl): 1 Time(s) nobody (200-113-109-156.static.tie.cl): 1 Time(s) postfix (200-113-109-156.static.tie.cl): 1 Time(s) Invalid Users: Unknown Account: 66 Time(s)
---------------------- pam_unix End -------------------------
--------------------- SSHD Begin ------------------------
Failed logins from: 124.153.74.9: 4 times 200.113.109.156 (200-113-109-156.static.tie.cl): 19 times
Illegal users from: 200.113.109.156 (200-113-109-156.static.tie.cl): 66 times
Received disconnect: 11: Bye Bye : 89 Time(s)
**Unmatched Entries** Excess permission or bad ownership on file /var/log/btmp : 155 time(s)
---------------------- SSHD End -------------------------
適当な事を言っちゃ駄目だよ〜 200.113.109.156のIPのやつがアカウント変えてログインを繰り返してるじゃん! スレ主がチリに住んでたら間違いではないが・・・
------------------------------------------------------------------------
IPアドレス => 「 200.113.109.156 」 ホスト名変換 => 「 200-113-109-156.static.tie.cl 」
------------------------------------------------------------------------ IPアドレス問合せ先 「 whois.lacnic.net (ラテンアメリカおよびカリブ海) 」 取得時間は 0.668秒
[Querying whois.lacnic.net] [whois.lacnic.net]
% Joint Whois - whois.lacnic.net % This server accepts single ASN, IPv4 or IPv6 queries
% LACNIC resource: whois.lacnic.net
% Copyright LACNIC lacnic.net % The data below is provided for information purposes % and to assist persons in obtaining information about or % related to AS and IP numbers registrations % By submitting a whois query, you agree to use this data % only for lawful purposes. % 2009-11-19 21:20:04 (BRST -02:00)
inetnum: 200.113.109.152/29 status: reallocated owner: COMPUTEC CHILE S.A ownerid: CL-CCSA54-LACNIC responsible: Operacones ISP TIE address: San Mart穝, 50, Piso 6 address: 8340526 - Santiago - RM country: CL → (チリ) phone: +56 2 7701400 [] owner-c: OTE tech-c: OTE abuse-c: OTE created: 20091005 changed: 20091005 inetnum-up: 200.113.96/19
nic-hdl: OTE person: Operaciones Telefonica Internet Empresas e-mail: oper@ISP.TIE.CL address: San Martin 50, Piso 5, 50, address: 02 - Santiago - RM country: CL → (チリ) phone: +56 02 6911620 [] created: 20060215 changed: 20060215
TCP wrapperでアクセスできるホストを制限してる? 他にiptablesでport22番へのアクセスを国外からは拒否するようするとか 外部からリモート操作しないのであればルーターのport22番を閉じるとか
ちなみに200.113.109.156にアクセスすると以下
-
|
Re: Logwatchの見方を教えて ( No.3 ) |
|
- æ¥æï¼ 2009/11/20 18:23
- ååï¼ hiyo
ももんがさん、あさん、ありがとうございます。
IPアドレス => 「 200.113.109.156 」 スレ主がチリに住んでたら間違いではないが・・・
「hiyo」は日本に生まれ、今も住んでますヨー
と言う事はひょっとするとえらいことになっている?
ホームページを公開する目的でサーバーを立てたので ローカル以外を遮断することは意味がありません。
今、不正侵入者を/etc/hosts.aiiow、denyで防ごうかと思っています。
ところで、一つ疑問があります。 「whoisw」で「 200.113.109.156 」を調べると確かに「static.tie.cl」 と出ますが、
私の「hiyo」のIPアドレスを「whoisw」で調べると
*************************************************************
あなたのIPアドレス : 120.51.47.248 テスト日時 : 2009/11/20 16:44:46
------------------------------------------------------------------------
IPアドレス => 「 120.51.47.248 」 ホスト名変換 => 「 w7d248.BN8.vectant.ne.jp 」
------------------------------------------------------------------------ IPアドレス問合せ先 「 whois.apnic.net (アジア/太平洋圏) 」 取得時間は 0.304秒
[Querying whois.apnic.net] [whois.apnic.net] % [whois.apnic.net node-1] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 120.51.0.0 - 120.51.255.255 netname: Vectant descr: VECTANT Ltd. descr: Daiichi Tekko Building4F,1-8-2Marunouchi,Chiyoda-ku,Tokyo,100-0005 Japan country: JP → (日本) admin-c: JNIC1-AP tech-c: JNIC1-AP status: ALLOCATED PORTABLE remarks: Email address for spam or abuse complaints : abuse@vectant.ne.jp mnt-by: MAINT-JPNIC mnt-lower: MAINT-JPNIC changed: hm-changed@apnic.net 20080320 changed: ip-apnic@nic.ad.jp 20090908 source: APNIC
role: Japan Network Information Center address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda address: Chiyoda-ku, Tokyo 101-0047, Japan country: JP → (日本) phone: +81-3-5297-2311 fax-no: +81-3-5297-2312 e-mail: hostmaster@nic.ad.jp admin-c: JI13-AP tech-c: JE53-AP nic-hdl: JNIC1-AP mnt-by: MAINT-JPNIC changed: hm-changed@apnic.net 20041222 changed: hm-changed@apnic.net 20050324 changed: ip-apnic@nic.ad.jp 20051027 source: APNIC
inetnum: 120.51.47.0 - 120.51.47.255 netname: V-FLETS descr: VECTANT Ltd. country: JP → (日本) admin-c: IH010JP tech-c: MA2355JP remarks: This information has been partially mirrored by APNIC from remarks: JPNIC. To obtain more specific information, please use the remarks: JPNIC WHOIS Gateway at remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client remarks: defaults to Japanese output, use the /e switch for English remarks: output) changed: apnic-ftp@nic.ad.jp 20080804 source: JPNIC
******************************************************
の様になり
IPアドレス => 「 120.51.47.248 」 ホスト名変換 => 「 w7d248.BN8.vectant.ne.jp 」
は「hiyo」のホスト名ではありません。
IPアドレスは固定IPではなく、DDNS「DynDns」で自動変換していますので、 これで正常なのかどうなのか今一分かっていません。
現在サーバーを3台持っています。 それぞれ3台共ホスト名は異なりますが、(あたりまえ(^^!) IPアドレスは3台共「 120.51.47.248 」です。
プロバイダーが1カ所の場合、この様に同じなのでしょうか?
|
Re: Logwatchの見方を教えて ( No.4 ) |
|
- æ¥æï¼ 2009/11/20 18:55
- ååï¼ あ
- お使いのプロバイダがヴェクタントだから当然です。
http://www.vectant.co.jp/ IP逆引きのサービスを行っているプロバイダでもない限り無理、更に非固定IPではありえない。
前述した通りで外部からサーバーをリモート操作しないのであればport22番を閉じればいい。 ホームページ公開だけなら80番のみで開ければいいかと。
|
Re: Logwatchの見方を教えて ( No.5 ) |
|
- æ¥æï¼ 2009/11/20 22:58
- ååï¼ ももんが
- SSHって鍵認証とパスワード認証があるけど、鍵認証にしてある?
鍵認証で不正ログインされるとは思えないのですが、、、、
いずれにしても、大変危ない状況でしょう。これは、、、
|
■ その他