 Re: Logwatchの見方を教えて ( No.1 ) |
 |
- ????????? 2009/11/19 23:20
- ????????? ももんが
-
>Failed logins from:
> 124.153.74.9: 4 times
> 200.113.109.156 (200-113-109-156.static.tie.cl): 19 times
124.153.74.9: 4と200.113.109.156のIPの人がログイン失敗。19回。
>Illegal users from:
> 200.113.109.156 (200-113-109-156.static.tie.cl): 66 times
200.113.109.156の人が、不正にログイン。66回。
200.113.109.156ってhiyo さんのIPだよね。きっと。
|
| Re: Logwatchの見方を教えて ( No.2 ) |
|
- ????????? 2009/11/20 08:28
- ????????? あ
-
--------------------- pam_unix Begin ------------------------
sshd:
Authentication Failures:
unknown (200-113-109-156.static.tie.cl): 66 Time(s)
root (200-113-109-156.static.tie.cl): 15 Time(s)
root (124.153.74.9): 4 Time(s)
apache (200-113-109-156.static.tie.cl): 1 Time(s)
ftp (200-113-109-156.static.tie.cl): 1 Time(s)
nobody (200-113-109-156.static.tie.cl): 1 Time(s)
postfix (200-113-109-156.static.tie.cl): 1 Time(s)
Invalid Users:
Unknown Account: 66 Time(s)
---------------------- pam_unix End -------------------------
--------------------- SSHD Begin ------------------------
Failed logins from:
124.153.74.9: 4 times
200.113.109.156 (200-113-109-156.static.tie.cl): 19 times
Illegal users from:
200.113.109.156 (200-113-109-156.static.tie.cl): 66 times
Received disconnect:
11: Bye Bye : 89 Time(s)
**Unmatched Entries**
Excess permission or bad ownership on file /var/log/btmp : 155 time(s)
---------------------- SSHD End -------------------------
適当な事を言っちゃ駄目だよ〜
200.113.109.156のIPのやつがアカウント変えてログインを繰り返してるじゃん!
スレ主がチリに住んでたら間違いではないが・・・
------------------------------------------------------------------------
IPアドレス => 「 200.113.109.156 」
ホスト名変換 => 「 200-113-109-156.static.tie.cl 」
------------------------------------------------------------------------
IPアドレス問合せ先 「 whois.lacnic.net (ラテンアメリカおよびカリブ海) 」
取得時間は 0.668秒
[Querying whois.lacnic.net]
[whois.lacnic.net]
% Joint Whois - whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries
% LACNIC resource: whois.lacnic.net
% Copyright LACNIC lacnic.net
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2009-11-19 21:20:04 (BRST -02:00)
inetnum: 200.113.109.152/29
status: reallocated
owner: COMPUTEC CHILE S.A
ownerid: CL-CCSA54-LACNIC
responsible: Operacones ISP TIE
address: San Mart?, 50, Piso 6
address: 8340526 - Santiago - RM
country: CL → (チリ)
phone: +56 2 7701400 []
owner-c: OTE
tech-c: OTE
abuse-c: OTE
created: 20091005
changed: 20091005
inetnum-up: 200.113.96/19
nic-hdl: OTE
person: Operaciones Telefonica Internet Empresas
e-mail: oper@ISP.TIE.CL
address: San Martin 50, Piso 5, 50,
address: 02 - Santiago - RM
country: CL → (チリ)
phone: +56 02 6911620 []
created: 20060215
changed: 20060215
TCP wrapperでアクセスできるホストを制限してる?
他にiptablesでport22番へのアクセスを国外からは拒否するようするとか
外部からリモート操作しないのであればルーターのport22番を閉じるとか
ちなみに200.113.109.156にアクセスすると以下
|
| Re: Logwatchの見方を教えて ( No.3 ) |
|
- ????????? 2009/11/20 18:23
- ????????? hiyo
-
ももんがさん、あさん、ありがとうございます。
IPアドレス => 「 200.113.109.156 」
スレ主がチリに住んでたら間違いではないが・・・
「hiyo」は日本に生まれ、今も住んでますヨー
と言う事はひょっとするとえらいことになっている?
ホームページを公開する目的でサーバーを立てたので
ローカル以外を遮断することは意味がありません。
今、不正侵入者を/etc/hosts.aiiow、denyで防ごうかと思っています。
ところで、一つ疑問があります。
「whoisw」で「 200.113.109.156 」を調べると確かに「static.tie.cl」
と出ますが、
私の「hiyo」のIPアドレスを「whoisw」で調べると
*************************************************************
あなたのIPアドレス : 120.51.47.248
テスト日時 : 2009/11/20 16:44:46
------------------------------------------------------------------------
IPアドレス => 「 120.51.47.248 」
ホスト名変換 => 「 w7d248.BN8.vectant.ne.jp 」
------------------------------------------------------------------------
IPアドレス問合せ先 「 whois.apnic.net (アジア/太平洋圏) 」
取得時間は 0.304秒
[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 120.51.0.0 - 120.51.255.255
netname: Vectant
descr: VECTANT Ltd.
descr: Daiichi Tekko Building4F,1-8-2Marunouchi,Chiyoda-ku,Tokyo,100-0005 Japan
country: JP → (日本)
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : abuse@vectant.ne.jp
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
changed: hm-changed@apnic.net 20080320
changed: ip-apnic@nic.ad.jp 20090908
source: APNIC
role: Japan Network Information Center
address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
country: JP → (日本)
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
source: APNIC
inetnum: 120.51.47.0 - 120.51.47.255
netname: V-FLETS
descr: VECTANT Ltd.
country: JP → (日本)
admin-c: IH010JP
tech-c: MA2355JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20080804
source: JPNIC
******************************************************
の様になり
IPアドレス => 「 120.51.47.248 」
ホスト名変換 => 「 w7d248.BN8.vectant.ne.jp 」
は「hiyo」のホスト名ではありません。
IPアドレスは固定IPではなく、DDNS「DynDns」で自動変換していますので、
これで正常なのかどうなのか今一分かっていません。
現在サーバーを3台持っています。
それぞれ3台共ホスト名は異なりますが、(あたりまえ(^^!)
IPアドレスは3台共「 120.51.47.248 」です。
プロバイダーが1カ所の場合、この様に同じなのでしょうか?
|
| Re: Logwatchの見方を教えて ( No.4 ) |
|
- ????????? 2009/11/20 18:55
- ????????? あ
-
お使いのプロバイダがヴェクタントだから当然です。
http://www.vectant.co.jp/
IP逆引きのサービスを行っているプロバイダでもない限り無理、更に非固定IPではありえない。
前述した通りで外部からサーバーをリモート操作しないのであればport22番を閉じればいい。
ホームページ公開だけなら80番のみで開ければいいかと。
|
| Re: Logwatchの見方を教えて ( No.5 ) |
|
- ????????? 2009/11/20 22:58
- ????????? ももんが
-
SSHって鍵認証とパスワード認証があるけど、鍵認証にしてある?
鍵認証で不正ログインされるとは思えないのですが、、、、
いずれにしても、大変危ない状況でしょう。これは、、、
|
| Re: Logwatchの見方を教えて ( No.6 ) |
|
- ????????? 2009/11/21 09:55
- ????????? hiyo
-
「お使いのプロバイダがヴェクタントだから当然です。」に付いてですが、
「hiyo」の契約しているプロバイダーは大塚商会の「αWebアルファウエブ」です。
https://online.alpha-web.jp/aweb/aweb_f/index.asp
大塚商会とヴェクタントは同じ会社又はグループということでしょうか?
それと、sshdのサービスは停止しているはずですが、再度確認してみます。
|
| Re: Logwatchの見方を教えて ( No.7 ) |
|
- ????????? 2009/11/21 15:58
- ????????? 中学生管理者
-
>IPアドレス => 「 120.51.47.248 」
>ホスト名変換 => 「 w7d248.BN8.vectant.ne.jp 」
>
>は「hiyo」のホスト名ではありません。
>
>IPアドレスは固定IPではなく、DDNS「DynDns」で自動変換していますので、
>これで正常なのかどうなのか今一分かっていません。
それで正常です。
w7d248.BN8.vectant.ne.jp は
プロバイダがつけた120.51.47.248に対するホスト名です。
非固定ということはIPを使いまわしているわけでhiyoさん専用の
IPがあるわけじゃない。簡単に言うとみんなで交代々々で
使ってるわけです。だから逆引きしたときにhiyoさんの
ホスト名が出るように固定することはできないんですよ。
ただ逆引きできないと困ることもあるので、プロバイダが逆引き用の
ホスト名をIP毎につけているわけです。何かのタイミングでhiyoさんの
回線へ別のIPが割り振られると、別の逆引き名になります。
>それと、sshdのサービスは停止しているはずですが、再度確認してみます。
誰もサービスを停止しろとは言ってないです。必要がないところへの
ポートは閉じた方がいいということ。WANから使わないなら
ルーターでポートを閉じればいいし、国内からしか使わないなら
日本からだけ許可するとか、決まったIPからしか使わないなら特定の
IPだけ許可するとか。iptablesで設定できます。(細かいことは自分で調べてください。)
|
| Re: Logwatchの見方を教えて ( No.8 ) |
|
- ????????? 2009/11/23 18:40
- ????????? hiyo
-
今朝、ホームページの画像のリンクの異常に気付き、
リンク切れのファイルの確認後、再起動しました所、
Linuxが立ち上がらなくなってしまいました。
完全にヤラレタのかもしれません。
起動時に赤色でエラーが沢山表示され、
アカウントとパスワードを入力すると、
「ユーザー情報の保存ファイルが見つかりません」
の様な趣旨のエラーが表示されました。
一度だけ見ましたので正確な表現ではありません(^^!)
この状態を私の能力で解決出来そうにありませんので、
インストールからやり直した方が速そうです。
数日前からルーターのWANからの開封ポートは80だけにしていたのに
既に間に合わなかったらしい。
昨日のLogwatchでは、不正侵入が600を超えていました。
この件に関してスレッドを閉じます。
参考意見を多数頂きありがとうございました。
お礼申し上げます。
|
このスレッドはクローズされています。記事の閲覧のみとなります。
Logwatchの見方を教えて