自宅サーバー開設して1ケ月ちょいたった今、本日3時頃からアタックがあった!
ログを見てみると、POP3への認証を試してるみたい。
Nov 13 03:00:20 e-akky postfix/qmgr[32186]: 13715108E53: removed
Nov 13 03:10:56 e-akky dovecot: pop3-login: Disconnected: user=<user>, method=PLAIN, rip=::ffff:203.228.134.253, lip=::ffff:(ローカルIPアドレス)
Nov 13 03:10:56 e-akky dovecot: pop3-login: Disconnected: user=<spam>, method=PLAIN, rip=::ffff:203.228.134.253, lip=::ffff:(ローカルIPアドレス)
Nov 13 03:10:56 e-akky dovecot: pop3-login: Disconnected: user=<one>, method=PLAIN, rip=::ffff:203.228.134.253, lip=::ffff:(ローカルIPアドレス)
Nov 13 03:10:56 e-akky dovecot: pop3-login: Disconnected: user=<info>, method=PLAIN, rip=::ffff:203.228.134.253, lip=::ffff:(ローカルIPアドレス)
Nov 13 03:10:56 e-akky dovecot: pop3-login: Disconnected: user=<done>, method=PLAIN, rip=::ffff:203.228.134.253, lip=::ffff:(ローカルIPアドレス)
Nov 13 03:10:56 e-akky dovecot: pop3-login: Disconnected: user=<samuel>, method=PLAIN, rip=::ffff:203.228.134.253, lip=::ffff:(ローカルIPアドレス)
こういうのが数百行記録されてる・・・
それにしても、いろんなユーザー名でログインしようとしてるんだね~
けど、POPに入って何かできるのかなぁ・・・(勉強不足?^^;)
テスト用のメール箱しか作ってないんだけど・・・
ちなみに、攻撃元のIPアドレスは、
203.228.134.253
そして、このIPアドレスはどこのものか調べてみると、
address: 11F, KTF B/D, 1321-11, Seocho2-Dong, Seocho-Gu,
address: Seoul, Korea, 137-857
country: KR
phone: +82-2-2186-4500
fax-no: +82-2-2186-4496
inetnum: 203.228.128.0 - 203.228.255.255
netname: SHINBIRO-KR
descr: ONSE Telecom
country: KR
韓国ソウルみたいだね~
中国・韓国はどうしてこういう人が多いんだろうか・・・
このSHINBIRO-KRはスパムメールを配信してる業者で日本語で送ってる業者みたい。
全く・・・ こういうの一番ハラが立つ!
うちのサーバーはあいにく、IDとパスワードでログインできるような環境じゃないので
アタックされても平気なんだけどね。(^^) ログに残るのが不愉快だけど・・・
ログを見てみると、POP3への認証を試してるみたい。
Nov 13 03:00:20 e-akky postfix/qmgr[32186]: 13715108E53: removed
Nov 13 03:10:56 e-akky dovecot: pop3-login: Disconnected: user=<user>, method=PLAIN, rip=::ffff:203.228.134.253, lip=::ffff:(ローカルIPアドレス)
Nov 13 03:10:56 e-akky dovecot: pop3-login: Disconnected: user=<spam>, method=PLAIN, rip=::ffff:203.228.134.253, lip=::ffff:(ローカルIPアドレス)
Nov 13 03:10:56 e-akky dovecot: pop3-login: Disconnected: user=<one>, method=PLAIN, rip=::ffff:203.228.134.253, lip=::ffff:(ローカルIPアドレス)
Nov 13 03:10:56 e-akky dovecot: pop3-login: Disconnected: user=<info>, method=PLAIN, rip=::ffff:203.228.134.253, lip=::ffff:(ローカルIPアドレス)
Nov 13 03:10:56 e-akky dovecot: pop3-login: Disconnected: user=<done>, method=PLAIN, rip=::ffff:203.228.134.253, lip=::ffff:(ローカルIPアドレス)
Nov 13 03:10:56 e-akky dovecot: pop3-login: Disconnected: user=<samuel>, method=PLAIN, rip=::ffff:203.228.134.253, lip=::ffff:(ローカルIPアドレス)
こういうのが数百行記録されてる・・・
それにしても、いろんなユーザー名でログインしようとしてるんだね~
けど、POPに入って何かできるのかなぁ・・・(勉強不足?^^;)
テスト用のメール箱しか作ってないんだけど・・・
ちなみに、攻撃元のIPアドレスは、
203.228.134.253
そして、このIPアドレスはどこのものか調べてみると、
address: 11F, KTF B/D, 1321-11, Seocho2-Dong, Seocho-Gu,
address: Seoul, Korea, 137-857
country: KR
phone: +82-2-2186-4500
fax-no: +82-2-2186-4496
inetnum: 203.228.128.0 - 203.228.255.255
netname: SHINBIRO-KR
descr: ONSE Telecom
country: KR
韓国ソウルみたいだね~
中国・韓国はどうしてこういう人が多いんだろうか・・・
このSHINBIRO-KRはスパムメールを配信してる業者で日本語で送ってる業者みたい。
全く・・・ こういうの一番ハラが立つ!
うちのサーバーはあいにく、IDとパスワードでログインできるような環境じゃないので
アタックされても平気なんだけどね。(^^) ログに残るのが不愉快だけど・・・
はじめまして。
鳩の谷の街さんからのリンクでお邪魔しました。
>うちのサーバーはあいにくIDとパスワードでログインできるような環境じゃないので
>アタックされても平気なんだけどね。(^^) ログに残るのが不愉快だけど・・・
とあるのですが、良ければこの環境を教えていただけませんでしょうか?
よろしくお願いします。
USAMARUさん、コメントありがとうございます。
うちのサーバーはCentOS5.2なのですが、FTPやtelnetを使用せずsshでターミナルやファイル転送を行っています。なのでポートもssh用に1つだけ用意してます。
sshでもID/パスワードでログインできるのですが、あえてそれはOFFにして公開鍵でのログインのみにしています。詳しくは以下のサイトに書かれていますので、よろしければお試しください。
http://centossrv.com/poderosa-public.shtml
http://centossrv.com/winscp.shtml
アッキーさん早速のコメントバック、ありがとうございます。
早速、WEB等で調べてみましたが英文サイトで把握ができず
また、知識不足で理解もできず困っております。
もしWindows homeserver 日本語版でもインストールして利用できるなら
恐縮ですがブログに記載頂ければ本当にありがたいです。
サーバー初心者なのでご迷惑をお掛けいたしますが
何卒よろしくお願いいたします。
あ、誤解を招いていたらすみません。
うちのサーバーは、Windows Home Server上で動いているLinuxなので、SSHでFTPやtelnetで簡単に実現できていますが、Home Server上でセキュアな環境を作るとなると、ちょっとややこしいかもしれないですね。
一応、Home ServerはIISというWebサーバーが動いているので、IISの設定でID/PASSの認証をせず公開鍵(クライアント証明書)にて認証することは可能ですが、USAMARUさんは、もしかしてWindowsのログオンをID/PASSなしでやりたいということでしょうか? もし、そうでしたら残念ながらWindowsのログオンは必ず入力しないといけないので難しいと思いますm(__)m
答えになってますでしょうか?
もし検討違いでしたら言ってくださいね(^^;)
USAMARUです。お世話になっております。
説明不足で失礼いたしました。
実はサーバーのセキュリティーに少々疑問がありまして、アッキーさんのブログを見て質問をさせていただきました。
今現状は重要なファイルなどはサーバー上に取り込んではいないのですが、仕事上の重要ファイルなど取り込んで稼働させた場合に、サーバーへのハック等セキュリティー面を確立したいと思っておりました。
海外からアタック(ハック)などに対応するためアッキーさんの
>うちのサーバーはあいにくIDとパスワードでログインできるような環境じゃないので
>アタックされても平気なんだけどね。(^^)
の言葉通りにアタックされても平気な環境構築をしてみたいと思いました。
Windows(クライアントPC)のログオン等はID/PASSでも良いのですが
WHSのログオン(WAN側)をアタックされても平気なように構築したいと思っております。
また、SSH以外の方法で良いものがありましたら教えていただければ幸いです。
PS、Linuxは全然わからないのでWHSのみの考えです。
なるほど。Home ServerのWebトップ画面を外部からアタックされないようにしたいというわけですね。
WHSのログオン画面ですが、残念ながら必ず経由しないといけないですね…
ただ、そのログオン画面を表示するために制限をかけることはIISの設定でいろいろできるようになっていると思います。
一番簡単なやり方としては、基本認証という方式がありますが、これはID/PASSを入力する方式になるので、あまりよろしくありませんね。
となると、クライアント証明書を利用したアクセス制限をかける方法があります。これは、あらかじめサーバーで作成したクライアント証明書というファイルを持っている人しかアクセスできなくなります。(私が使っているsshと同じような方式になります)
すべてWindowsでやるには、かなり手間がかかるかもです(^^;)
証明機関(だったかな)みたいなのをWindowsのアプリをインストールする必要があります。(標準でCDに入ってますので追加・削除からWindowsコンポーネントを追加できます)
これさえ入れば、あとは手順だけになるのですが、ちょっとうちのHomeServerはこれは導入してないので、うろ覚えの知識でしか…(^^;
すみません、この先はGoogle等で調べていただければ、すぐ見つかると思います。(証明書関係の知識が必要になります)
検索キーワードとしては、「Windows Server 2003 クライアント証明書」みたいな感じで探してみてくださいm(__)m
すみません、これぐらいしかお力になれなくて…m(__)m
分かる範囲ではお答えできますので、質問等あれば何でも聞いてください。
お世話になっています。USAMARUです。
> すみません、これぐらいしかお力になれなくて…m(__)m
いえいえ、丁寧にアドバイスを頂き、本当にいろいろと感謝しております。
あれからいろいろと調べてみますと下記のようなページを見つけました
http://itpro.nikkeibp.co.jp/article/Windows/20050905/220605/?ST=tech_win
はじめての試みですので良く理解してから取り組んで行きたいと思います。
実装するには少し時間が掛かるとは思いますが、このページのコメントで報告させていただいてもよろしいでしょうか?
本当にありがとうございました。
何事も経験が大事かと思いますので、ガンバってください\(^O^)/
分からないことがあれば、こちらでいつでも質問してもらえれば分かる範囲でお答えできますのでm(__)m
あ、ちなみに、この日経のITProに書かれてる Active Directory というのは Home Serverには存在しませんのでご注意ください。(これは、2003 Server専用のソフトです)
はじめまして。WHSで sshを利用されている方の記事が少なく、ここにたどりつきました^^;
参考にさせていただいてます_o_
当方は centos + sshトンネリングでリモート環境からLAN内PCをリモートデスクトップ
ないしは VNCで遠隔操作していますが、WHSの IISの sshを使って同様の操作をすること
って可能でしょうか?(windows serverの知識に疎くてすみません・・)
評価版ダウンロードが MSのサーバ不具合によりそのまま廃止→有償DVDになってしまい、
検証ができなくて・・ご存知であればご教授いただけると大変助かりますっ!
かんさん、コメントありがとうございます。
SSHについてですが、私の環境では WHSでVMware等でCentOSを動かして実現しています。なので、実際にはWHSではないですね~
もし、WHSでやるのであれば、OpenSSH for Windowsみたいなソフトを使うと実現できるとは思うのですが、試したことがないです。
お力になれなくてすみませんm(__)m
さっそくのお返事ありがとうございます! VM内centosのsshを利用なされている、
ということでしたかやはり・・WHSもwindowsだから、サーバアプリをインストール
すれば、実現できそうですね。あと、Cygwinとか ^^;
ルータやファイアウォールに制約が出るかもしれませんが、VPNを使ってる事例を
見つけましたので、ご参考まで。(すでにご存じであればスミマセン)
http://www.homeserver-forum.com/communityhs/contest/hs_contest2_pp1_result_mp.asp
とか
http://www.homeserver-forum.com/communityhs/contents/whs_dojo_advance_001-2.asp
とか。
アタック繋がりで少しお話すると、WHS標準のリモートアクセスですと80/tcp 443/tcp
4125/tcpの内向きを許可しなければならず、不要なアクセスを避けられないと考え、
tunnelを使いたかったという経緯でした ^^。またちょくちょく覗かせていただきまーす。
かんさん、貴重な情報ありがとうございます。
私もPPTPを利用して外部からWHSへアクセスしたりはしてたんですが、あまり頻度が高くなかったので結局sshになっちゃいました(^^;
あと、リモートデスクトップのポートが標準では3389(だったかな?)なのですが、アタックの可能性があるので他のポートに変更しました。その結果、WHSのリモートソフト(?)が使えなくなってしまいましたが、あまり使うこともなかったので自分では「よし」ってことになってます(^0^;)
WHSの情報ってあまり出回ってないので、いろいろ大変だと思いますがお互いにがんばりましょう!
今回はありがとうございました。m(__)m