Logwatchの見方を教えて

このスレッドはクローズされています。記事の閲覧のみとなります。

Logwatchの見方を教えて

æ¥æï¼ 2009/11/19 15:55
ååï¼ hiyo

久しぶりに投稿します。毎日Logwatchを見るようにしていますが、何か異常が有るのかどうか今一分かっていません。たとえばSSHDを見ると何者かが何回もアタックしている様ですがこのままほっておいても問題ないのでしょうか？管理方法に付いて教えて頂けないでしょうか宜しくお願い致します。 ################### Logwatch 7.3.4 (02/17/07) #################### Processing Initiated: Thu Nov 19 04:39:46 2009 Date Range Processed: yesterday ( 2009-Nov-18 ) Period is day. Detail Level of Output: 0 Type of Output: unformatted Logfiles for Host: ******.******.jp ################################################################## --------------------- clam-update Begin ------------------------ Last ClamAV update process started at Wed Nov 18 14:02:10 2009 Last Status: WARNING: Your ClamAV installation is OUTDATED! WARNING: Local version: 0.92.1 Recommended version: 0.95.3 DON'T PANIC! Read http://www.clamav.net/support/faq main.cvd is up to date (version: 51, sigs: 545035, f-level: 42, builder: sven) Downloading daily-10034.cdiff [100%] Downloading daily-10035.cdiff [100%] Downloading daily-10036.cdiff [100%] Downloading daily-10037.cdiff [100%] daily.inc updated (version: 10037, sigs: 108080, f-level: 44, builder: ccordes) WARNING: Your ClamAV installation is OUTDATED! WARNING: Current functionality level = 26, recommended = 44 DON'T PANIC! Read http://www.clamav.net/support/faq Database updated (653115 signatures) from clamavdb.osj.net (IP: 218.44.253.75) ---------------------- clam-update End ------------------------- --------------------- Dovecot Begin ------------------------ Dovecot disconnects: Logged out: 20 Time(s) no reason: 2 Time(s) ---------------------- Dovecot End ------------------------- --------------------- httpd Begin ------------------------ Connection attempts using mod_proxy: 82.134.30.247 -> 205.188.251.11:443: 1 Time(s) 82.134.30.247 -> 205.188.251.16:443: 1 Time(s) 82.134.30.247 -> 205.188.251.21:443: 1 Time(s) 82.134.30.247 -> 205.188.251.26:443: 1 Time(s) 82.134.30.247 -> 205.188.251.31:443: 1 Time(s) 82.134.30.247 -> 205.188.251.36:443: 1 Time(s) 82.134.30.247 -> 205.188.251.43:443: 1 Time(s) 82.134.30.247 -> 64.12.161.153:443: 1 Time(s) 82.134.30.247 -> 64.12.200.89:443: 1 Time(s) Requests with error response codes 405 Method Not Allowed /TETSUJI: 4 Time(s) 205.188.251.11:443: 1 Time(s) 205.188.251.16:443: 1 Time(s) 205.188.251.21:443: 1 Time(s) 205.188.251.26:443: 1 Time(s) 205.188.251.31:443: 1 Time(s) 205.188.251.36:443: 1 Time(s) 205.188.251.43:443: 1 Time(s) 64.12.161.153:443: 1 Time(s) 64.12.200.89:443: 1 Time(s) ---------------------- httpd End ------------------------- --------------------- pam_unix Begin ------------------------ sshd: Authentication Failures: unknown (200-113-109-156.static.tie.cl): 66 Time(s) root (200-113-109-156.static.tie.cl): 15 Time(s) root (124.153.74.9): 4 Time(s) apache (200-113-109-156.static.tie.cl): 1 Time(s) ftp (200-113-109-156.static.tie.cl): 1 Time(s) nobody (200-113-109-156.static.tie.cl): 1 Time(s) postfix (200-113-109-156.static.tie.cl): 1 Time(s) Invalid Users: Unknown Account: 66 Time(s) ---------------------- pam_unix End ------------------------- --------------------- postfix Begin ------------------------ 1 *Warning: Pre-queue content-filter connection overload 130.235K Bytes accepted 133,361 111.049K Bytes delivered 113,714 ======== ================================================ 13 Accepted 100.00% -------- ------------------------------------------------ 13 Total 100.00% ======== ================================================ 10 Connections made 10 Disconnections 13 Removed from queue 2 Delivered 5 Sent via SMTP 6 Bounce (remote) 3 DSNs undeliverable ---------------------- postfix End ------------------------- --------------------- SSHD Begin ------------------------ Failed logins from: 124.153.74.9: 4 times 200.113.109.156 (200-113-109-156.static.tie.cl): 19 times Illegal users from: 200.113.109.156 (200-113-109-156.static.tie.cl): 66 times Received disconnect: 11: Bye Bye : 89 Time(s) **Unmatched Entries** Excess permission or bad ownership on file /var/log/btmp : 155 time(s) ---------------------- SSHD End ------------------------- --------------------- Disk Space Begin ------------------------ Filesystem Size Used Avail Use% Mounted on /dev/mapper/VolGroup00-LogVol00 142G 4.0G 131G 3% / /dev/sda1 99M 20M 75M 21% /boot ---------------------- Disk Space End ------------------------- ###################### Logwatch End #########################

Page: [1] [2]

■ コンテンツ関連情報

Re: Logwatchの見方を教えて ( No.6 )

æ¥æï¼ 2009/11/21 09:55
ååï¼ hiyo

「お使いのプロバイダがヴェクタントだから当然です。」に付いてですが、「hiyo」の契約しているプロバイダーは大塚商会の「αWebアルファウエブ」です。 https://online.alpha-web.jp/aweb/aweb_f/index.asp 大塚商会とヴェクタントは同じ会社又はグループということでしょうか？それと、sshdのサービスは停止しているはずですが、再度確認してみます。

Re: Logwatchの見方を教えて ( No.7 )

æ¥æï¼ 2009/11/21 15:58
ååï¼ 中学生管理者

>IPアドレス＝＞「 120.51.47.248 」 >ホスト名変換＝＞「 w7d248.BN8.vectant.ne.jp 」 > >は「hiyo」のホスト名ではありません。 > >IPアドレスは固定IPではなく、DDNS「DynDns」で自動変換していますので、 >これで正常なのかどうなのか今一分かっていません。それで正常です。 w7d248.BN8.vectant.ne.jp はプロバイダがつけた120.51.47.248に対するホスト名です。非固定ということはIPを使いまわしているわけでhiyoさん専用の IPがあるわけじゃない。簡単に言うとみんなで交代々々で使ってるわけです。だから逆引きしたときにhiyoさんのホスト名が出るように固定することはできないんですよ。ただ逆引きできないと困ることもあるので、プロバイダが逆引き用のホスト名をIP毎につけているわけです。何かのタイミングでhiyoさんの回線へ別のIPが割り振られると、別の逆引き名になります。 >それと、sshdのサービスは停止しているはずですが、再度確認してみます。誰もサービスを停止しろとは言ってないです。必要がないところへのポートは閉じた方がいいということ。WANから使わないならルーターでポートを閉じればいいし、国内からしか使わないなら日本からだけ許可するとか、決まったIPからしか使わないなら特定の IPだけ許可するとか。iptablesで設定できます。(細かいことは自分で調べてください。)

Re: Logwatchの見方を教えて ( No.8 )

æ¥æï¼ 2009/11/23 18:40
ååï¼ hiyo

今朝、ホームページの画像のリンクの異常に気付き、リンク切れのファイルの確認後、再起動しました所、 Linuxが立ち上がらなくなってしまいました。完全にヤラレタのかもしれません。起動時に赤色でエラーが沢山表示され、アカウントとパスワードを入力すると、「ユーザー情報の保存ファイルが見つかりません」の様な趣旨のエラーが表示されました。一度だけ見ましたので正確な表現ではありません(^^!）この状態を私の能力で解決出来そうにありませんので、インストールからやり直した方が速そうです。数日前からルーターのWANからの開封ポートは80だけにしていたのに既に間に合わなかったらしい。昨日のLogwatchでは、不正侵入が600を超えていました。この件に関してスレッドを閉じます。参考意見を多数頂きありがとうございました。お礼申し上げます。

Page: [1] [2]

■ その他

ページ先頭へ

Re: Logwatchの見方を教えて ( No.6 )
æ¥æï¼ 2009/11/21 09:55 ååï¼ hiyo `「お使いのプロバイダがヴェクタントだから当然です。」に付いてですが、「hiyo」の契約しているプロバイダーは大塚商会の「αWebアルファウエブ」です。 https://online.alpha-web.jp/aweb/aweb_f/index.asp 大塚商会とヴェクタントは同じ会社又はグループということでしょうか？それと、sshdのサービスは停止しているはずですが、再度確認してみます。`
Re: Logwatchの見方を教えて ( No.7 )
æ¥æï¼ 2009/11/21 15:58 ååï¼ 中学生管理者 >IPアドレス＝＞「 120.51.47.248 」 >ホスト名変換＝＞「 w7d248.BN8.vectant.ne.jp 」 > >は「hiyo」のホスト名ではありません。 > >IPアドレスは固定IPではなく、DDNS「DynDns」で自動変換していますので、 >これで正常なのかどうなのか今一分かっていません。それで正常です。 w7d248.BN8.vectant.ne.jp はプロバイダがつけた120.51.47.248に対するホスト名です。非固定ということはIPを使いまわしているわけでhiyoさん専用の IPがあるわけじゃない。簡単に言うとみんなで交代々々で使ってるわけです。だから逆引きしたときにhiyoさんのホスト名が出るように固定することはできないんですよ。ただ逆引きできないと困ることもあるので、プロバイダが逆引き用のホスト名をIP毎につけているわけです。何かのタイミングでhiyoさんの回線へ別のIPが割り振られると、別の逆引き名になります。 >それと、sshdのサービスは停止しているはずですが、再度確認してみます。誰もサービスを停止しろとは言ってないです。必要がないところへのポートは閉じた方がいいということ。WANから使わないならルーターでポートを閉じればいいし、国内からしか使わないなら日本からだけ許可するとか、決まったIPからしか使わないなら特定の IPだけ許可するとか。iptablesで設定できます。(細かいことは自分で調べてください。)
Re: Logwatchの見方を教えて ( No.8 )
æ¥æï¼ 2009/11/23 18:40 ååï¼ hiyo 今朝、ホームページの画像のリンクの異常に気付き、リンク切れのファイルの確認後、再起動しました所、 Linuxが立ち上がらなくなってしまいました。完全にヤラレタのかもしれません。起動時に赤色でエラーが沢山表示され、アカウントとパスワードを入力すると、「ユーザー情報の保存ファイルが見つかりません」の様な趣旨のエラーが表示されました。一度だけ見ましたので正確な表現ではありません(^^!）この状態を私の能力で解決出来そうにありませんので、インストールからやり直した方が速そうです。数日前からルーターのWANからの開封ポートは80だけにしていたのに既に間に合わなかったらしい。昨日のLogwatchでは、不正侵入が600を超えていました。この件に関してスレッドを閉じます。参考意見を多数頂きありがとうございました。お礼申し上げます。