ぶろぐ？

先日からのがまだおさまらずまだiptableでdrop中。
でもってWebサーバのログを見てみるとこれまた大変なことに(笑

ちらっとAbuseIPDB(http://www.abuseipdb.com/)で調べてみたら
やっぱり引っかかる(笑
で、調べたついでにAnon状態でのReportもできるようになったみたい
なのでReportもPostっと。

# zcat wp_access.log-20141229.gz |grep xmlrpc.php|awk '{print $1};'|sort |uniq -c|sort -nr
カウント数 ipアドレス
 190587 85.25.210.188
  13207 141.255.166.210
    218 54.164.84.206
     64 54.85.49.28
     16 54.174.210.115

# zcat wp_access.log-20141230.gz |grep xmlrpc.php|awk '{print $1};'|sort |uniq -c|sort -nr
カウント数 ipアドレス
 293370 85.25.210.188
 171491 198.12.68.138
 123289 198.12.93.194
  29760 141.255.166.210
  19769 23.94.245.50
    928 54.86.209.190
    269 198.12.93.210

iptableのDROPはこんな感じ。
＃いい加減止まらないかな(まだまだカウントアップ中)と…

 5398  324K DROP       all  --  *      *       141.255.166.210      0.0.0.0/0
85696 5142K DROP       all  --  *      *       198.12.0.0/16        0.0.0.0/0
31352 1881K DROP       all  --  *      *       85.25.210.188        0.0.0.0/0

とりあえず年が明けてしばらくすれば収まることに期待かなぁ～
さてさて寝よっと。
んでわぁ～ん。

寝ようと思ったけど…あまりに重くておかしいなと思ったら
xmrpcのアタック受けてたのでさくっとその対策。
と言うより某半島とか大陸の人が邪魔なアクセスしてくれているので
その対策にどどーんと飛んできているのを追加する感じ(笑
大体のコマンドは打ってれば使える(はず)だけどたまーに度忘れしたり
してしまうんで覚え書きをここに…。

iptable
　*チェインルール評価順
  nat prerouting
  filter INPUT
  filter ユーザーchain
  nat OUTPUT
  filter OUTPUT
  nat POSTROUTING

 *filter 追加
  /sbin/iptables -A チェイン -p プロトコル -s 元IP/netmask -j ターゲット -i インターフェース

 * protcol
   tcp、udp、icmp、all
 *destination/source
  -s ip/mask
  -d ip/mask
 *ターゲット
  ACCEPT、DROP(破棄)、REJECT(拒否)、REDIRECT、LOG
  チェイン名
 *インターフェース
  -i インターフェース名(受信)
  -o インターフェース名(送信)
   
 *filterの削除
  iptables -D チェイン名 (チェイン内の)番号

 *filterの確認(削除用の番号付き)
  iptables -L -n -v --line-numbers

 *ユーザーchain
  (追加) iptables -N チェイン名
  (削除) iptables -X チェイン名

 *nat の確認
  iptables -L -n -v -t nat

state の拡張モジュールもあるけど長くなりそうなのでパス。
動作としては最初にマッチした所で終了。
LOGの場合だけ次に進む。

とりあえずこの程度あれば足りるような気がする…。

実家帰ったら新しいケージが…
なんだか元気なちっこいのが増えてました。
＃ちなみに最後まで写真はありません(笑
先々週くらいに来た５か月の子だそうで、ケージからちょっと
部屋の中に出してあげると走り回って元気いっぱいな感じです。
この位の時期がかわいいよねぇ～っと(笑

で、トイレとかは販売店での躾でだいぶましな感じではあるけど
それ以外のちゃんとした躾をする人もいないのでまたわがまま放題
(順位が上だと認識する)になりそうな雰囲気が多々していたりします。

本当に飼い方を良く知らない人がただただ可愛いからと飼ってみたり
子育てと同じで、昔の常識が今は非常識なことだってあったりするので
最低限迷惑をかけないために、売る方も飼い主講習(教育)をやった方が
良いんじゃないかと。
まっとりあえず小さいうちに順位づけはちゃんとしておかないとね。
後から言うことを聞かないとかめんどくさい事が多くなるし(^^;

さてさて、寝よっと。
んでわぁ～

ここ２，３日でプロバイダから連絡が…
実家の一番上のルーターから他の所にSSDPリフレクション攻撃されたと

で、対策しようにもルーターはローカル側からしか設定できないので
さてどうしたもんかと思ったけどまぁその辺はお得意分野(^^;
とりあえずサーバ側あるのでごにょごにょしつつポートを２段階曲げて
ルータの設定変更(めんどくさいしとりあえずUPnPをオフ)しましたっと。

んで、終わったよんって連絡したら今度はOpenResolverが
引っかかるので直してねとな…。

とりあえずnslookup とかdigコマンドで対象ルーターに向かって
外からコマンド投げて反応があればダメって言うだけなんだけどね

詳細はめんどくさいので以下参照。
オープンリゾルバ確認サイト
http://www.openresolver.jp/
JPNIC
オープンリゾルバ(Open Resolver)に対する注意喚起
https://www.nic.ad.jp/ja/dns/openresolver/

しかしこれ出た時にほぼ大丈夫だと思ってはいたけど
がっつり条件にマッチしてたというおちが…。
[条件]
※PPPoE接続で固定IPサービス、かつルーターでIP unnumbered設定で
グローバルIPが割り当てられている場合

これの対策はまぁ簡単。
※外からルーターに対して、port53を閉じる、
これで、完了。

サーバ回りはてけとーにアップデートとかかけてはいたけど
普段からサーバ回りをやってなければ見る範囲ができとーになって
だいぶ脇が甘くなるね。もうちょっと気をつけないとな～。

そういえば来週の月曜日は出勤日かぁ…
すぐの締め切りもないし４連休にするか。
ってそれ以前に来週行ったら再来週やすみやん。
年末年始用の送るお酒準備してないや。まー、来週でいっか(^^ゞ

さて、寝よっと。
んでわぁ～。

土曜日はうちで情シ時代のメンバにて忘年会。

で、当初は適当にご購入な鍋の予定だったはずが
魚屋さんで鰤の柵もあったけど１本をみつけたのでブリ大会に(笑

Continue reading ‘ぼーねんかい＆宴のあと…’ »

されてます。
と言ってもまぁここのサーバですが(笑

実家に置いてあるさーばと違ってiptableで某アジアの国を
閉じていなかったのでわんさかアクセスが…。
それだけでなくまぁいろいろなもののログがずらーっと並んでいたので
元のサーバと同じくらいの仕掛けを入れて閉じましたっと。
そのほかにもhttp経由とかであほほどアクセスあったんだけど
さくっと閉じてみたらカウンタが上がる上がる(^^;
通信自体できないように落としてるからそのうち諦めるかな～っと。

で、お遊びでsshのハニーポットをテストな感じで上位側であげていて
それもnatテーブルでredirectして実ポートで動かすようにしてみた。
さてさてどのくらい引っかかってどんなログとか残してくれるかなぁ～
これがちょっと楽しみ(^^;
とりあえずdropのログはまだすごいけど…
それ以外のログはすっきりしたのでなんだか見やすくなったなぁ。

一通り移行が済んだけどあとDNSが残ってるのよねぇ。
全部移しちゃってもいいんだけど結局バックアップ取る先も
必要だからサーバーは残るしどうするかは微妙な所なのよねぇ。
あっマスタとスレーブを入れ替えればいいのか。

とりあえずそのうちてきとーにどうにかするか。
さてさて寝よっと
んでわぁ～