ウェブサーバやFTPサーバのログを見ていると、

たまに侵入を試みているログが発見されるんですが、
その場合、どのように対処するのが正しいのでしょうか。

1.無視する
2.送信元に警告する
3.送信元IPをフィルタで拒否する
4.その他

また送信元に警告を送る場合は、英文のサンプル等が
載っているページ、

送信元IPをフィルタで拒否する場合、それが
どの程度効果があるのか、

等ありましたら、教えていただけるとうれしいです。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2004/11/13 17:05:18
  • 終了:--

回答(5件)

id:hnd_info No.1

hnd_info回答回数329ベストアンサー獲得回数22004/11/13 17:26:38

ポイント30pt

http://www.dekyo.or.jp/soudan/onegai.htm

【アドレス変更のお知らせ】 迷惑メール相談センター

私の場合は、2と3で使い分けます。

スパムやウイルスも含めて国内のIPアドレスの場合はISPと財団法人日本データ

通信協会(スパムの場合のみ)に必ず連絡します。

外国のIPアドレスの場合は何処にも連絡しないで、そのISPが管理する空間を閉めて

しまいます。

>送信元IPをフィルタで拒否する場合、それがどの程度効果があるのか、

TCP/IPを0:65534の範囲でブロックすると何も出来なくなります。

最近、iptables の初期化の脆弱性が指摘されましたので、もしお使いでしたら

一度確認されることをお勧めします。

うちのサーバは今のところ問題がありません。が、Webminを使って登録していると、

その都度、iptablesを再起動するので、その瞬間、未ブロック状態になります。

そのタイミングで何度かスパムメールが紛れ込んだことがあります。

http://www.npa.go.jp/cyber/soudan/hitech-sodan.htm

URL変更のお知らせ(警察庁)

id:hisano

回答ありがとうございます。

>外国のIPアドレスの場合は何処にも連絡しないで、そのISPが管理する空間を閉めて

>しまいます。

全て閉めてしまうわけですか。

送信元IPを管理するISPの管理空間は、どのように知ることができるのでしょうか。

>>送信元IPをフィルタで拒否する場合、それがどの程度効果があるのか、

>

>TCP/IPを0:65534の範囲でブロックすると何も出来なくなります。

IPをフィルタで拒否する場合、拒否すべきIPが大量にあって

いたちごっこになるのではないかと心配しています。

>最近、iptables の初期化の脆弱性が指摘されましたので、もしお使いでしたら

>一度確認されることをお勧めします。

iptablesは使っていないです。

/etc/hosts.{deny|allow}を使ってフィルタリングすればいいかなと考えていたんですが、

iptablesって使いやすいですか?

2004/11/13 19:00:32
id:imamurataishi No.2

imamurataishi回答回数23ベストアンサー獲得回数02004/11/13 18:52:08

ポイント10pt

2.送信元に警告する

がいいと思います

id:hisano

回答ありがとうございます。

できれば、imamurataishiさんがそう考える理由など添えていただけるとうれしいです。

2004/11/13 19:03:21
id:iyotetsu2100 No.3

iyotetsu2100回答回数125ベストアンサー獲得回数02004/11/13 19:09:53

ポイント10pt

無視するのが一番です。

相手にすると相手が喜び、ますますいやがらせをされるからです。下手に対応すると状況が悪化するだけですよ。

id:hisano

回答ありがとうございます。

フィルタで拒否した場合も、更に攻撃を受けることってあるんでしょうか。

2004/11/14 03:46:11
id:hnd_info No.4

hnd_info回答回数329ベストアンサー獲得回数22004/11/13 21:51:19

ポイント30pt

http://whois.ansi.co.jp/?key=&domain=com&domain=net&domain=i...

ANSI Whois Gateway: $B%I%a%$%sL>(B / IP$B%"%I%l%98!:w%5!<%S%9(B

>全て閉めてしまうわけですか。

>送信元IPを管理するISPの管理空間は、どのように知ることができるのでしょうか。

ご紹介したサイトなどを参考にします。

他にもありますし、自分のサーバでcgiやPHPで動かして検索もしています。

これは先月、ヤフーのアドレスに届いたスパムメールのヘッダの一部です。

Received: from prodigy.net (0.135.224.246) by f579-jrc21.prodigy.net with Microsoft SMTPSVC(3.1.9351.9539);

Fri, 08 Oct 2004 06:03:42 -0600

これをwhoisのサイトで、0.135.224.246を検索すると次のような結果が表示されます。

OrgName: Internet Assigned Numbers Authority

OrgID: IANA

Address: 4676 Admiralty Way, Suite 330

City: Marina del Rey

StateProv: CA

PostalCode: 90292-6695

Country: US

NetRange: 0.0.0.0 - 0.255.255.255

CIDR: 0.0.0.0/8

これをWebminを使ってiptablesに0.0.0.0/8の全てのTCPの拒否をする設定例です。

送信元アドレス:0.0.0.0/255.0.0.0

宛先アドレス :*

宛先ポート  :0:65534 ←何故か0:65535と設定するとエラーになります

プロトコル  :xTCP UDP

ルール    : 許可 x拒否

iptablesには許可と拒否の設定が可能で、許可が優先されます。

0.0.0.0/8の空間を拒否しても、0.123.0.0/15を許可すれば、この空間だけアクセス可能です。

>IPをフィルタで拒否する場合、拒否すべきIPが大量にあって

>いたちごっこになるのではないかと心配しています。

アメリカなどは上記の設定例より更に大きい空間(/224.0.0.0)をバッサリ拒否しています。

そして必要なIPアドレスを許可しています。

>/etc/hosts.{deny|allow}を使ってフィルタリングすればいいかなと考えていたんですが、

>iptablesって使いやすいですか?

ブラウザから簡単に設定できますから楽だと思います。

改善して欲しい点としては、10件くらい一括して登録できると良いと思います。

他には、サーバがロースペックだと登録時に重いかもしれません。

http://www.apnic.net/apnic-bin/whois.pl

Query the APNIC Whois Database

id:hisano

詳しい回答ありがとうございます。

参考にさせていただきます。

2004/11/15 20:48:17

質問者が未読の回答一覧

 回答者回答受取ベストアンサー回答時間
1 kai10 115 105 3 2004-11-17 00:51:04

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません