« きょうのきょう(住民説明会) | トップページ | きょうのきょう(身を削る) »

2007年10月28日 (日)

きょうのきょう(Winでsyslog)

F1053158a_tna  自宅サーバへのアタックが多い。今に始まった事ではないのだが、smtpまで叩かれるようになった。不正中継はしないようにしているので、踏み台にされる事はないものの、自ドメイン宛のメールは届いてしまう。メールを受信したくてポートを開いているわけだから、それでいいんだが。サーバも一応セキュアにしてあるので、ひとしきりアタックされるくらいはまぁいい。DoSと言うほどの頻度でもないし。しかし、何度もやってくるリピーターはうっとうしいのでルータのFW機能でブロック。主にソースのIPを指定して遮断。

 ログを見ているとどうやら奏功しているっぽい。

 サーバのsyslogはデーモンでhtmlに加工してWebで見る事ができるようにしてある。ルータのログもサーバに飛ばして同様に加工しているのだが、量が桁違いに多くて非力なサーバでは息も絶え絶えになるらしい。ならば余裕のあるWindowsマシンでsyslogを直接ブラウズできないかと探したら、結構あるようだ。単に、syslogを514/udpで受けてファイルに記録するだけのソフトなら以前から使っていたのだが、分類してフィルタリングして表示してくれるソフトもあるとは。しかもフリーだ。
 ...ってんで早速DLして使ってみたら、一番重要なキーワードフィルタリングは有料だって。(-_-;) ちょっとログを見て溜飲を下げる目的にはお高い。ファイルに落としたsyslogをチェックしながら色を変えて表示してくれるソフトもあったのだが、syslogの量は変わらないので埋没中。「tail -f | grep」みたいなソフトもあったから使ってみたら、機能的には十分だけど、やや寂しい。

 やっぱ、swatchでメール飛ばした方がいいか?

 画像は京都駅地下街のコインロッカー。監視カメラはいいとして、傘は公共物?

|

« きょうのきょう(住民説明会) | トップページ | きょうのきょう(身を削る) »

コメント

私も会社のサーバに来る日々のアタック対策に swatch 使っています、
特にブルートフォースアタックには有効の様子 (syslog汚されると問題
があった場合の発見に手間が掛るし...)、検出したアタック元は自動的に
フィルタで遮断して、記録の為にメイル送信しています、こちらはprocmail
のレシピで分類して保存するのがよさげですね、

投稿: TIKA | 2007年10月29日 (月) 08時28分

 うむ。やっぱswatchですか。
 丸2日ほど運用して、ログをちろちろ眺めるのにも飽きて来ちゃった。やっぱ、イベント通知があってから見に行く方が現実的ですね。デイリーのログ監視レポートとの合わせ技が妥当かな。

 自動的にフィルタ遮断、いいですねぇ。ログ解析してルータのコマンド発行させればできちゃうか。バグると全通信を遮断しちゃったりしそうですが。予備系のルータで作り込んでみようかな。

投稿: ichi | 2007年10月29日 (月) 20時03分

ブロック用に書いたスクリプトはたったこれだけ :-)

tika@zzz$ cat swatchrc
#
# swatch configration
#
watchfor /Invalid user/
mail=tika@lsi-j.co.jp,subject="Attacker blocked"
exec /root/swatch/ipfilter.sh 11 $*

tika@zzz$ cat ipfilter.sh
#!/bin/sh
attacker=`/bin/echo $* | /usr/bin/cut -d' ' -f$1`
if [ "$attacker" != "" ]; then
/sbin/ipfw add 550 deny all from $attacker:255.255.255.255 to any
else
echo 'Not Attacker Address...'
fi

投稿: TIKA | 2007年10月29日 (月) 22時10分

 お、FWがBSDなんですね。一体化していると便利ですねぇ。
 うちは、ルータの簡易FW機能を使っているので、syslogサーバからルータのtelnet叩いてコマンドを突っ込まないといけないですだ。似たような事はやっているのでなんとかなるでしょう、たぶん。(^_^;)

投稿: ichi | 2007年10月29日 (月) 23時33分

コメントを書く



(ウェブ上には掲載しません)




« きょうのきょう(住民説明会) | トップページ | きょうのきょう(身を削る) »