人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

ウェブサーバやFTPサーバのログを見ていると、
たまに侵入を試みているログが発見されるんですが、
その場合、どのように対処するのが正しいのでしょうか。

1.無視する
2.送信元に警告する
3.送信元IPをフィルタで拒否する
4.その他

また送信元に警告を送る場合は、英文のサンプル等が
載っているページ、

送信元IPをフィルタで拒否する場合、それが
どの程度効果があるのか、

等ありましたら、教えていただけるとうれしいです。

●質問者: hisano
●カテゴリ:ウェブ制作
✍キーワード:FTP IP ウェブ サーバ フィルタ
○ 状態 :終了
└ 回答数 : 4/5件

▽最新の回答へ

1 ● hnd_info
●30ポイント

http://www.dekyo.or.jp/soudan/onegai.htm

【アドレス変更のお知らせ】 迷惑メール相談センター

私の場合は、2と3で使い分けます。

スパムやウイルスも含めて国内のIPアドレスの場合はISPと財団法人日本データ

通信協会(スパムの場合のみ)に必ず連絡します。

外国のIPアドレスの場合は何処にも連絡しないで、そのISPが管理する空間を閉めて

しまいます。

>送信元IPをフィルタで拒否する場合、それがどの程度効果があるのか、

TCP/IPを0:65534の範囲でブロックすると何も出来なくなります。

最近、iptables の初期化の脆弱性が指摘されましたので、もしお使いでしたら

一度確認されることをお勧めします。

うちのサーバは今のところ問題がありません。が、Webminを使って登録していると、

その都度、iptablesを再起動するので、その瞬間、未ブロック状態になります。

そのタイミングで何度かスパムメールが紛れ込んだことがあります。

http://www.web110.com/defence/manual_3.html#anchor6

http://www.npa.go.jp/cyber/soudan/hitech-sodan.htm

URL変更のお知らせ(警察庁)

◎質問者からの返答

回答ありがとうございます。

>外国のIPアドレスの場合は何処にも連絡しないで、そのISPが管理する空間を閉めて

>しまいます。

全て閉めてしまうわけですか。

送信元IPを管理するISPの管理空間は、どのように知ることができるのでしょうか。

>>送信元IPをフィルタで拒否する場合、それがどの程度効果があるのか、

>

>TCP/IPを0:65534の範囲でブロックすると何も出来なくなります。

IPをフィルタで拒否する場合、拒否すべきIPが大量にあって

いたちごっこになるのではないかと心配しています。

>最近、iptables の初期化の脆弱性が指摘されましたので、もしお使いでしたら

>一度確認されることをお勧めします。

iptablesは使っていないです。

/etc/hosts.{deny|allow}を使ってフィルタリングすればいいかなと考えていたんですが、

iptablesって使いやすいですか?


2 ● imamurataishi
●10ポイント

2.送信元に警告する

がいいと思います

◎質問者からの返答

回答ありがとうございます。

できれば、imamurataishiさんがそう考える理由など添えていただけるとうれしいです。


3 ● iyotetsu2100
●10ポイント

無視するのが一番です。

相手にすると相手が喜び、ますますいやがらせをされるからです。下手に対応すると状況が悪化するだけですよ。

◎質問者からの返答

回答ありがとうございます。

フィルタで拒否した場合も、更に攻撃を受けることってあるんでしょうか。


4 ● hnd_info
●30ポイント

http://whois.ansi.co.jp/?key=&domain=com&domain=net&domain=i...

ANSI Whois Gateway: $B%I%a%$%sL>(B / IP$B%"%I%l%98!:w%5!<%S%9(B

>全て閉めてしまうわけですか。

>送信元IPを管理するISPの管理空間は、どのように知ることができるのでしょうか。

ご紹介したサイトなどを参考にします。

他にもありますし、自分のサーバでcgiやPHPで動かして検索もしています。

これは先月、ヤフーのアドレスに届いたスパムメールのヘッダの一部です。

Received: from prodigy.net (0.135.224.246) by f579-jrc21.prodigy.net with Microsoft SMTPSVC(3.1.9351.9539);

Fri, 08 Oct 2004 06:03:42 -0600

これをwhoisのサイトで、0.135.224.246を検索すると次のような結果が表示されます。

OrgName: Internet Assigned Numbers Authority

OrgID: IANA

Address: 4676 Admiralty Way, Suite 330

City: Marina del Rey

StateProv: CA

PostalCode: 90292-6695

Country: US

NetRange: 0.0.0.0 - 0.255.255.255

CIDR: 0.0.0.0/8

これをWebminを使ってiptablesに0.0.0.0/8の全てのTCPの拒否をする設定例です。

送信元アドレス:0.0.0.0/255.0.0.0

宛先アドレス :*

宛先ポート :0:65534 ←何故か0:65535と設定するとエラーになります

プロトコル :xTCP UDP

ルール : 許可 x拒否

iptablesには許可と拒否の設定が可能で、許可が優先されます。

0.0.0.0/8の空間を拒否しても、0.123.0.0/15を許可すれば、この空間だけアクセス可能です。

>IPをフィルタで拒否する場合、拒否すべきIPが大量にあって

>いたちごっこになるのではないかと心配しています。

アメリカなどは上記の設定例より更に大きい空間(/224.0.0.0)をバッサリ拒否しています。

そして必要なIPアドレスを許可しています。

>/etc/hosts.{deny|allow}を使ってフィルタリングすればいいかなと考えていたんですが、

>iptablesって使いやすいですか?

ブラウザから簡単に設定できますから楽だと思います。

改善して欲しい点としては、10件くらい一括して登録できると良いと思います。

他には、サーバがロースペックだと登録時に重いかもしれません。

http://www.apnic.net/apnic-bin/whois.pl

Query the APNIC Whois Database

◎質問者からの返答

詳しい回答ありがとうございます。

参考にさせていただきます。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ