はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/05/30
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 質問掲示板

 このスレッドはクローズされています。記事の閲覧のみとなります。

 Logwatchの見方を教えて
日時: 2009/11/19 15:55
名前: hiyo

久しぶりに投稿します。

毎日Logwatchを見るようにしていますが、
何か異常が有るのかどうか今一分かっていません。

たとえばSSHDを見ると何者かが何回もアタックしている様ですが
このままほっておいても問題ないのでしょうか?

管理方法に付いて教えて頂けないでしょうか
宜しくお願い致します。

 ################### Logwatch 7.3.4 (02/17/07) #################### 
    Processing Initiated: Thu Nov 19 04:39:46 2009
    Date Range Processed: yesterday
               ( 2009-Nov-18 )
               Period is day.
   Detail Level of Output: 0
       Type of Output: unformatted
      Logfiles for Host: ******.******.jp
 ################################################################## 
 
 --------------------- clam-update Begin ------------------------ 

 Last ClamAV update process started at Wed Nov 18 14:02:10 2009
 
 Last Status:
  WARNING: Your ClamAV installation is OUTDATED!
  WARNING: Local version: 0.92.1 Recommended version: 0.95.3
  DON'T PANIC! Read http://www.clamav.net/support/faq
  main.cvd is up to date (version: 51, sigs: 545035, f-level: 42, builder: sven)
  Downloading daily-10034.cdiff [100%]
  Downloading daily-10035.cdiff [100%]
  Downloading daily-10036.cdiff [100%]
  Downloading daily-10037.cdiff [100%]
  daily.inc updated (version: 10037, sigs: 108080, f-level: 44, builder: ccordes)
  WARNING: Your ClamAV installation is OUTDATED!
  WARNING: Current functionality level = 26, recommended = 44
  DON'T PANIC! Read http://www.clamav.net/support/faq
  Database updated (653115 signatures) from clamavdb.osj.net (IP: 218.44.253.75)
 
 ---------------------- clam-update End ------------------------- 

 
 --------------------- Dovecot Begin ------------------------ 

 
 
 Dovecot disconnects:
  Logged out: 20 Time(s)
  no reason: 2 Time(s) 
 ---------------------- Dovecot End ------------------------- 

 
 --------------------- httpd Begin ------------------------ 

 
 Connection attempts using mod_proxy:
  82.134.30.247 -> 205.188.251.11:443: 1 Time(s)
  82.134.30.247 -> 205.188.251.16:443: 1 Time(s)
  82.134.30.247 -> 205.188.251.21:443: 1 Time(s)
  82.134.30.247 -> 205.188.251.26:443: 1 Time(s)
  82.134.30.247 -> 205.188.251.31:443: 1 Time(s)
  82.134.30.247 -> 205.188.251.36:443: 1 Time(s)
  82.134.30.247 -> 205.188.251.43:443: 1 Time(s)
  82.134.30.247 -> 64.12.161.153:443: 1 Time(s)
  82.134.30.247 -> 64.12.200.89:443: 1 Time(s)
 
 Requests with error response codes
  405 Method Not Allowed
    /TETSUJI: 4 Time(s)
    205.188.251.11:443: 1 Time(s)
    205.188.251.16:443: 1 Time(s)
    205.188.251.21:443: 1 Time(s)
    205.188.251.26:443: 1 Time(s)
    205.188.251.31:443: 1 Time(s)
    205.188.251.36:443: 1 Time(s)
    205.188.251.43:443: 1 Time(s)
    64.12.161.153:443: 1 Time(s)
    64.12.200.89:443: 1 Time(s)
 
 ---------------------- httpd End ------------------------- 

 
 --------------------- pam_unix Begin ------------------------ 

 sshd:
  Authentication Failures:
    unknown (200-113-109-156.static.tie.cl): 66 Time(s)
    root (200-113-109-156.static.tie.cl): 15 Time(s)
    root (124.153.74.9): 4 Time(s)
    apache (200-113-109-156.static.tie.cl): 1 Time(s)
    ftp (200-113-109-156.static.tie.cl): 1 Time(s)
    nobody (200-113-109-156.static.tie.cl): 1 Time(s)
    postfix (200-113-109-156.static.tie.cl): 1 Time(s)
  Invalid Users:
    Unknown Account: 66 Time(s)
 
 
 ---------------------- pam_unix End ------------------------- 

 
 --------------------- postfix Begin ------------------------ 

    1  *Warning: Pre-queue content-filter connection overload 
 
 130.235K Bytes accepted              133,361
 111.049K Bytes delivered             113,714
 ========  ================================================
 
    13  Accepted                 100.00%
 --------  ------------------------------------------------
    13  Total                  100.00%
 ========  ================================================
 
    10  Connections made   
    10  Disconnections    
    13  Removed from queue  
    2  Delivered       
    5  Sent via SMTP     
    6  Bounce (remote)    
    3  DSNs undeliverable  
 
 
 
 ---------------------- postfix End ------------------------- 

 
 --------------------- SSHD Begin ------------------------ 

 
 Failed logins from:
  124.153.74.9: 4 times
  200.113.109.156 (200-113-109-156.static.tie.cl): 19 times
 
 Illegal users from:
  200.113.109.156 (200-113-109-156.static.tie.cl): 66 times
 
 
 Received disconnect:
  11: Bye Bye : 89 Time(s)
 
 **Unmatched Entries**
 Excess permission or bad ownership on file /var/log/btmp : 155 time(s)
 
 ---------------------- SSHD End ------------------------- 

 
 --------------------- Disk Space Begin ------------------------ 

 Filesystem      Size Used Avail Use% Mounted on
 /dev/mapper/VolGroup00-LogVol00
            142G 4.0G 131G  3% /
 /dev/sda1       99M  20M  75M 21% /boot
 
 
 ---------------------- Disk Space End ------------------------- 

 
 ###################### Logwatch End ######################### 
メンテ

Page:  [1] [2]

■ コンテンツ関連情報

 Re: Logwatchの見方を教えて ( No.1 )
日時: 2009/11/19 23:20
名前: ももんが

>Failed logins from:
>  124.153.74.9: 4 times
>  200.113.109.156 (200-113-109-156.static.tie.cl): 19 times


124.153.74.9: 4と200.113.109.156のIPの人がログイン失敗。19回。


>Illegal users from:
>  200.113.109.156 (200-113-109-156.static.tie.cl): 66 times



200.113.109.156の人が、不正にログイン。66回。


200.113.109.156ってhiyo さんのIPだよね。きっと。
メンテ
 Re: Logwatchの見方を教えて ( No.2 )
日時: 2009/11/20 08:28
名前: あ


--------------------- pam_unix Begin ------------------------

sshd:
  Authentication Failures:
    unknown (200-113-109-156.static.tie.cl): 66 Time(s)
    root (200-113-109-156.static.tie.cl): 15 Time(s)
    root (124.153.74.9): 4 Time(s)
    apache (200-113-109-156.static.tie.cl): 1 Time(s)
    ftp (200-113-109-156.static.tie.cl): 1 Time(s)
    nobody (200-113-109-156.static.tie.cl): 1 Time(s)
    postfix (200-113-109-156.static.tie.cl): 1 Time(s)
  Invalid Users:
    Unknown Account: 66 Time(s)


---------------------- pam_unix End ------------------------- 



--------------------- SSHD Begin ------------------------


Failed logins from:
  124.153.74.9: 4 times
  200.113.109.156 (200-113-109-156.static.tie.cl): 19 times

Illegal users from:
  200.113.109.156 (200-113-109-156.static.tie.cl): 66 times


Received disconnect:
  11: Bye Bye : 89 Time(s)

**Unmatched Entries**
Excess permission or bad ownership on file /var/log/btmp : 155 time(s)

---------------------- SSHD End ------------------------- 


適当な事を言っちゃ駄目だよ〜
200.113.109.156のIPのやつがアカウント変えてログインを繰り返してるじゃん!
スレ主がチリに住んでたら間違いではないが・・・

------------------------------------------------------------------------

IPアドレス => 「 200.113.109.156 」
ホスト名変換 => 「 200-113-109-156.static.tie.cl 」

------------------------------------------------------------------------
IPアドレス問合せ先 「 whois.lacnic.net  (ラテンアメリカおよびカリブ海) 」
取得時間は 0.668秒

[Querying whois.lacnic.net]
[whois.lacnic.net]

% Joint Whois - whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries

% LACNIC resource: whois.lacnic.net


% Copyright LACNIC lacnic.net
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2009-11-19 21:20:04 (BRST -02:00)

inetnum: 200.113.109.152/29
status: reallocated
owner: COMPUTEC CHILE S.A
ownerid: CL-CCSA54-LACNIC
responsible: Operacones ISP TIE
address: San Mart穝, 50, Piso 6
address: 8340526 - Santiago - RM
country: CL   → (チリ)
phone: +56 2 7701400 []
owner-c: OTE
tech-c: OTE
abuse-c: OTE
created: 20091005
changed: 20091005
inetnum-up: 200.113.96/19

nic-hdl: OTE
person: Operaciones Telefonica Internet Empresas
e-mail: oper@ISP.TIE.CL
address: San Martin 50, Piso 5, 50,
address: 02 - Santiago - RM
country: CL   → (チリ)
phone: +56 02 6911620 []
created: 20060215
changed: 20060215




TCP wrapperでアクセスできるホストを制限してる?
他にiptablesでport22番へのアクセスを国外からは拒否するようするとか
外部からリモート操作しないのであればルーターのport22番を閉じるとか

ちなみに200.113.109.156にアクセスすると以下
メンテ
 Re: Logwatchの見方を教えて ( No.3 )
日時: 2009/11/20 18:23
名前: hiyo


ももんがさん、あさん、ありがとうございます。

IPアドレス => 「 200.113.109.156 」
スレ主がチリに住んでたら間違いではないが・・・

「hiyo」は日本に生まれ、今も住んでますヨー

と言う事はひょっとするとえらいことになっている?

ホームページを公開する目的でサーバーを立てたので
ローカル以外を遮断することは意味がありません。

今、不正侵入者を/etc/hosts.aiiow、denyで防ごうかと思っています。

ところで、一つ疑問があります。
「whoisw」で「 200.113.109.156 」を調べると確かに「static.tie.cl」
と出ますが、


私の「hiyo」のIPアドレスを「whoisw」で調べると

*************************************************************

あなたのIPアドレス : 120.51.47.248
テスト日時 : 2009/11/20 16:44:46

------------------------------------------------------------------------

IPアドレス => 「 120.51.47.248 」
ホスト名変換 => 「 w7d248.BN8.vectant.ne.jp 」

------------------------------------------------------------------------
IPアドレス問合せ先 「 whois.apnic.net  (アジア/太平洋圏) 」
取得時間は 0.304秒

[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 120.51.0.0 - 120.51.255.255
netname: Vectant
descr: VECTANT Ltd.
descr: Daiichi Tekko Building4F,1-8-2Marunouchi,Chiyoda-ku,Tokyo,100-0005 Japan
country: JP   → (日本)
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : abuse@vectant.ne.jp
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
changed: hm-changed@apnic.net 20080320
changed: ip-apnic@nic.ad.jp 20090908
source: APNIC

role: Japan Network Information Center
address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
country: JP   → (日本)
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
source: APNIC

inetnum: 120.51.47.0 - 120.51.47.255
netname: V-FLETS
descr: VECTANT Ltd.
country: JP   → (日本)
admin-c: IH010JP
tech-c: MA2355JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20080804
source: JPNIC

******************************************************

の様になり

IPアドレス => 「 120.51.47.248 」
ホスト名変換 => 「 w7d248.BN8.vectant.ne.jp 」

は「hiyo」のホスト名ではありません。

IPアドレスは固定IPではなく、DDNS「DynDns」で自動変換していますので、
これで正常なのかどうなのか今一分かっていません。

現在サーバーを3台持っています。
それぞれ3台共ホスト名は異なりますが、(あたりまえ(^^!)
IPアドレスは3台共「 120.51.47.248 」です。

プロバイダーが1カ所の場合、この様に同じなのでしょうか?
メンテ
 Re: Logwatchの見方を教えて ( No.4 )
日時: 2009/11/20 18:55
名前: あ

お使いのプロバイダがヴェクタントだから当然です。
http://www.vectant.co.jp/
IP逆引きのサービスを行っているプロバイダでもない限り無理、更に非固定IPではありえない。

前述した通りで外部からサーバーをリモート操作しないのであればport22番を閉じればいい。
ホームページ公開だけなら80番のみで開ければいいかと。
メンテ
 Re: Logwatchの見方を教えて ( No.5 )
日時: 2009/11/20 22:58
名前: ももんが

SSHって鍵認証とパスワード認証があるけど、鍵認証にしてある?

鍵認証で不正ログインされるとは思えないのですが、、、、

いずれにしても、大変危ない状況でしょう。これは、、、
メンテ

Page:  [1] [2]

■ その他

ページ先頭へ

Copyright(©)2004-2018 First home server construction. All Right Reserved.