しらないIPからの接続要求

Question

先ほど、ここでお答えをいただきサーバーのログの問題を１つ解決できました。大変感謝しております。

それでもう一つの問題を質問いたします。

いくつかのサーバーのログを見ていたら、一つのサーバーで

Feb  6 14:55:11 yuki-dev smbd[18892]: [2007/02/06 14:55:11, 0] lib/access.c:check_access(328)
Feb  6 14:55:11 yuki-dev smbd[18892]:   Denied connection from  (218.168.17.87)

というログがやはり、１～２秒おきに出ています。このIPは全く見当がつきません。これはだれかにアタックされているように見えます。今のところ、接続を拒絶しているようですが、やっぱりログがどんどん大きくなるので、非常にめいわくです。なんとかしたいのですが、このIPアドレスをJPNICで検索しても「該当するデータがありません。」となって、抗議もできません。また、現時点でなにか重要なデータを盗まれたとかいう証拠もないので、警察も相手にしてくれないじゃないかと思います。

samba は非常に便利に使っているので、sambaを生かしたままなんとかしたいのですが、なにか方法はありませんでしょうか？

toro777777 · Accepted Answer

http://internet.watch.impress.co.jp/cda/news/2007/02/07/14704.html
回数だけのチェックだけも甘い気が
ログ一ずつチェックしておいた方がいいかもね。
いつのまにか進入されていたとかになったりして

Lean · Answer

＞セキュリティがちゃんと働いて接続を拒否したというログは１日１個、あるいはログローテイト１回につき１個で十分と思います。

個人的な意見ですが、何回あったかも重要だと思っています。
クレームを付けるにしても、どのくらいあったという情報も必要だと思っていますので。

ただ、個人的には、smbd(samba)で拒否するように設定する事はもちろんですが、そこまで届く前にフィルタリングして必要な接続元以外からの接続はsmbd(samba)まで届かないようにしますね。

基本的には、外部から内部入ってくるものは基本的に拒否でフィルタリングし、必要なポートのみ、それも特定の接続元が特定できるならその接続元からの接続のみに限定して接続出来るようなフィルタリングの設定を行っています。

フィルタリングでもブロック(拒否)した時にログを出力するようにして、大量のログになりますが、圧縮して何世代(容量の都合で3～4ヶ月程度)か残してあります。

toro777777 · Answer

>セキュリティがちゃんと働いて接続を拒否したというログは１日１個、あるいはログローテイト１回につき１個で十分と思います。
なんかいそのようなことがおきているかも重要だと思いますよ。

そんなに気になるなら生ログから
振り分けようのスクリプトでも
Perlで組めばいいのでは?

toro777777 · Answer

>セキュリティはそれなりに考えてあるのですが、ログがたまるのが、うざいので質問しました。こんなログがたくさんあると、本当に重要なログを見落としそうです。
セキュリティの考えから見るとこういう
怪しいログ(しかも定期的なんて)すべてこそが重要なログなんです。
怪しくないまともなログだけ拾ってアクセス解析でもして
満足するためですか?
そこら辺がわかってないのに
セキュリティはそれなりに考えてある
なんていわないでください。
まったく考えていません。

Wr5 · Answer

>思うに Denied で終わった時は、同じIPの Denied の記録は１日１個でいいような気がするのですが。

Swatch + iptablesでブロックするようにしてはどうでしょうか？
SSHなんかもこの応用で対処できると思いますが。

参考URL：http://www.aconus.com/~oyaji/security/swatch.htm

tao_0077 · Answer

サーバをインターネットに公開したら、
>しらないIPからの接続要求
が来るのが普通、と思ったほうがいいです。かつ、その接続は「悪意」があるものも少なくないと考えて、セキュリティを考えていかなければなりません。

samba はインターネット経由で使うような物ではないと思いますが…。VPN などのしかるべき接続方法を考えるべきです。

参考URL：http://cgi.samba.gr.jp/pipermail/samba-jp/2007-January/000414.html

okjbnm · Answer

ファイアーウォールをおすすめします。
接続してきている該当国は、台湾ですね。

audience_k · Answer

すみません、素人なのですが、ご質問がふと目に入って・・・

ご質問のIP（ここにIP記載することの可否は分かりませんが・・・）検索してみたら、ヒットしました。某国の企業？のようですね。
ちなみに私は
http://whois.ansi.co.jp/
http://www.cman.jp/network/support/ip.html
http://www.mse.co.jp/ip_domain/index.shtml
で検索してみました。
一番上のサイトが簡単に表示されるようです。（私は読めませんが・・・ｗ）

と、この回答自体が削除対象かも知れません。
その際はご容赦下さい。

しらないIPからの接続要求

＞セキュリティがちゃんと働いて接続を拒否したというログは１日１個、あるいはログローテイト１回につき１個で十分と思います。

>セキュリティがちゃんと働いて接続を拒否したというログは１日１個、あるいはログローテイト１回につき１個で十分と思います。

>セキュリティはそれなりに考えてあるのですが、ログがたまるのが、うざいので質問しました。

この回答への補足

>思うに Denied で終わった時は、同じIPの Denied の記録は１日１個でいいような気がするのですが。

サーバをインターネットに公開したら、

ファイアーウォールをおすすめします。

すみません、素人なのですが、ご質問がふと目に入って・・・

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング