2103 アクセス制限

<<トップページへ

アクセス制限
日時: 2006/04/07 09:54
名前: 少知識
いつも大変お世話になっております。
不正アクセスによりサーバーへの侵入を許してしまい、サーバーの再インストールを行いました。
皆様のおかげとこのサイトの情報により現在、不正アクセスは少なめのようです。
まずは、この場を借りましてありがとうございます。
見よう見まねでiptablesへのアクセス拒否、httpd.confでのアクセス拒否設定をしておりますが、
不正アクセスが少ない内に設定を強化しようと考えております。

rootからのlogwatchレポートでいくつか質問がありますのでご教授下さいます様お願い致します。

(質問1)
Connection attempts using mod_proxy:
12-202-201-132.client.insightbb.com -> smtp.aol.com:587 : 2 Time(s)
12-203-213-163.client.insightbb.com -> smtp.aol.com:5000 : 14 Time(s)
198.173.4.64 -> login.icq.com:443 : 16 Time(s)

ソースIPをiptables -I INPUT -s 198.173.4.64 -j DROP
の様に毎日書き足していたのですが、いたちごっこかなと思い始めました。
ただ最初は何千という数のアクセスがありましたが、現在は200〜300程度と
なっていますので、一定の効果はあったと思います。
質問はそもそもこのアクセスは何?です。

私の理解では、source(12-202-201-132.client.insightbb.com)の人が家のサーバーを経由してdestination(smtp.aol.com:587)へアクセスしているということかと思ったのですが。
この理解は正しいですか?
正しいのであれば、proxy経由でのアクセスを全面的に禁止すれば良いかと思ったのですが
それでは駄目でしょうか。

httpd.confではmod_proxyはロードしていますが、mod_proxy.cは全てコメントアウトされています。
ロードしている箇所をコメントアウトするとhttpが上手く起動しません。
これはなければならないのでしょうか?

(質問2)
相変わらず404攻撃は続いています。

A total of 12013 unidentified 'other' records logged
with response code(s)
POST http://healingdoc.com/cgi-bin/healingcafe HTTP/1.1 with response code(s) 4 404 responses
GET http://us.a1.yimg.com/login.india.yahoo.com/config/login?login=yanlover&passwd=madelyne HTTP/1.0 with response code(s) 2 404 responses

現在は下記にあった記事の通り国内からのアクセスのみにしています(しているつもり)。

http://fedorasrv.com/bbshtml/webpatio/1685.shtml

****httpd.conf抜粋****
ServerAdmin root@xxxx.xxx.xxx

ServerName xxxx.xxx.xxx:80

UseCanonicalName Off

DocumentRoot "/var/www/html"

<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>

#
# This should be changed to whatever you set DocumentRoot to.
#
<Directory "/var/www/html">

Order allow,deny
Allow from 192.168.0.
Allow from .jp
Allow from .bbtec.net
Allow from .isao.net
Deny from all

</Directory>
*****************

httpd/error_logを見ると下記の様に拒否しているものもあるため

[Fri Apr 07 08:59:47 2006] [error] [client 221.127.109.83] client denied by server configuration: /var/www/html/login.tpe.yahoo.com, referer: http://www.yahoo.com/
[Fri Apr 07 08:59:57 2006] [error] [client 221.127.109.83] client denied by server configuration: /var/www/html/login.india.yahoo.com, referer: http://www.yahoo.com/

一部は効いている様です。

httpd/access_logを見ると下記の様に通過しているものがあります

221.127.109.83 - - [07/Apr/2006:09:00:10 +0900] "GET http://us.geo1.yimg.com/login.yahoo.com/config/login?login=yano2mch&passwd=daevid HTTP/1.0" 403 230 "http://www.yahoo.com/" "-"
221.127.109.83 - - [07/Apr/2006:09:00:13 +0900] "GET http://us.geo1.yimg.com/login.tpe.yahoo.com/config/login?login=zyana_99&passwd=hotty HTTP/1.0" 403 234 "http://www.yahoo.com/" "-"

何か設定が不足しているのか、実は国内のIPアドレスから海外へアクセスしに行っているのか。
どのような対策を講じるのが良いでしょうか。

(質問3)毎日下記メッセージがあるのですが、このメッセージは
不正アクセスとは関係あるのでしょうか?
毎日同じ回数になっております。

--------------------- pam_unix Begin ------------------------

crond:
Unknown Entries:
session closed for user root: 317 Time(s)
session opened for user root by (uid=0): 317 Time(s)
session closed for user mailman: 292 Time(s)
session opened for user mailman by (uid=0): 292 Time(s)
session closed for user postgres: 1 Time(s)
session opened for user postgres by (uid=0): 1 Time(s)


---------------------- pam_unix End -------------------------

以上です。宜しくお願い致します。

Re: アクセス制限(1)
日時: 2006/04/07 14:50
名前: ZED
(質問1)
ログにはstatusが405と出ているはずです。405であれば踏み台にはされていないので、大丈夫です。
気持ち悪ければ、
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
はコメントアウトしちゃっても大丈夫です。


(質問2)
ドメイン偽装してるか、proxy経由でもアクセスできますね。
日本のIPアドレスをiptablesで制御すれば可能かと・・・。
でも国内proxy経由であれば、どうにもなりませんが。

それでも気持ち悪ければ、
http://www.modsecurity.org/なんて面白いですよ。
ユーザーマニュアルhttp://hp.vector.co.jp/authors/VA027424/mod_security/v_1_9_stable_ja_.html


(質問3)
関係有りません。
cronを動かす為に使っているだけです。

Re: アクセス制限(2)
日時: 2006/04/07 16:50
名前: 少知識
ZED様、いつもありがとうございます。
今のところ深刻な問題は無いようで少し安心しました。

modsecurityは導入してみたいと思いますが、
自分で入れられるかどうか。
まずはマニュアルを読んでみます。

助かりました。

※古いスレッドには返信できない場合があります


■関連コンテンツ




▲このページのトップへ戻る

ご自由にリンクしてください(連絡は不要です)
本ページへのご意見・ご要望、誤字・脱字・リンク切れ等のご連絡はこちらからお願いします