このスレッドはクローズされています。記事の閲覧のみとなります。

Logwatchについて

日時： 2009/12/08 15:45 名前： hiyo いつも当サイトを参考にさせて頂き感謝しております。 先日（１週間ほど前） CentOS5のインストールと メールサーバー、ウエブサーバー等を立ち上げました。 各サーバーは今のところ正常に動作しておりますが、 毎日配信されて来るLogwatchの内容が初心者の私には分かりません。 何か重要な内容が含まれていても見過ごしているかもしれません。 例えば、 1.pam_unixの所でdovecotの認証拒否が128回も有ったのか？  一応拒否しているので問題無しとするのか？  （190.12.62.178は自サイトのIPではありません。） 2.postfixではテスト以外送信・受信したことも無いのに  151421 bytesも送信している？ 3.ConnectionsにUnmatched Entriesとして  dovecot-auth: pam_succeed_if(dovecot:auth):・・・  等と、たくさん、ゾロゾロ書き込まれています。 もしかしてバックドアで踏み台になっているのか？ それともlinuxを立ち上げて間もないのにそれは無いのでは？ 等と分からないばっかりに不安で一杯です。 セキュリティ対策は当サイトを参考に設定しております。 ・http://kajuhome.com/server_access.shtml ・http://kajuhome.com/clam_antivirus.shtml wan->lanの開放ポートは、http、smtp、pop3だけです。 ssh、ftpはlan内のみ許可にしております。 セキュリティに詳しい方初心者に分かるよう教えてください。 よろしくお願いします。  --------------------- amavis Begin ------------------------   5 messages checked and passed.      **Unmatched Entries**   (!!)WARN: all primary virus scanners failed, considering backups: 5 Time(s)   Found decoder for  .tar at /usr/bin/pax: 1 Time(s)   Internal decoder for .zip : 1 Time(s)   Found decoder for  .F  at /usr/bin/unfreeze: 1 Time(s)   starting. /usr/sbin/amavisd at ******.******.net amavisd-new-2.6.4 (20090625), Unicode aware, LANG="ja_JP.UTF-8": 1 Time(s)   Creating db in /var/amavis/db/; BerkeleyDB 0.36, libdb 4.3: 1 Time(s)   Internal decoder for .tnef: 1 Time(s)   Found decoder for  .deb at /usr/bin/ar: 1 Time(s)   Found decoder for  .zoo at /usr/bin/zoo: 1 Time(s)  ・  ・  ・  ---------------------- amavis End -------------------------     --------------------- pam_unix Begin ------------------------   dovecot:   Authentication Failures:     rhost=::ffff:190.12.62.178 : 128 Time(s)     root: 9 Time(s)     adm: 1 Time(s)     apache: 1 Time(s)     bin: 1 Time(s)     clamav: 1 Time(s)  ・  ・  ・   Unknown Entries:     check pass; user unknown: 128 Time(s)    ---------------------- pam_unix End -------------------------     --------------------- postfix Begin ------------------------     151421 bytes transferred  90 messages sent  8 messages removed from queue    Connections lost:   Connection lost while CONNECT : 1 Time(s)   Connection lost while END-OF-MESSAGE : 1 Time(s)  ・  ・  ・  ---------------------- postfix End -------------------------     --------------------- Connections (secure-log) Begin ------------------------     Userhelper executed applications:   ******* -> system-config-network as root: 1 Time(s)   ******* -> pup as root: 1 Time(s)    **Unmatched Entries**  dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user staff  dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user sales  dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user recruit  dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user alias  dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user office  ・  ・  ・  dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user workshop  ---------------------- Connections (secure-log) End -------------------------

Page:  [1] [2]

■ コンテンツ関連情報

Re: Logwatchについて ( No.6 )
日時： 2009/12/14 17:36 名前： stranger 参照： http://ja.528p.com/ CentOSのlogwatchのできが悪い 私のところではfc11のsrc.rpmからCentOS用のrpmを作って使っていますが 下記のようになります（ローカルIPとホスト名は替えてあるのでアクセスしないで下さい）  --------------------- Postfix Begin (detail=10) ------------------------   ****** Summary *************************************************************************************       15  *Warning: Pre-queue content-filter connection overload      53.937K Bytes accepted              55,231   53.937K Bytes delivered              55,231  ========  ================================================       7  Accepted                 63.64%     4  Rejected                 36.36%  --------  ------------------------------------------------     11  Total                  100.00%  ========  ================================================       4  Reject header              100.00%  --------  ------------------------------------------------     4  Total Rejects              100.00%  ========  ================================================       26  Connections made        2  Connections lost        26  Disconnections         7  Removed from queue       7  Delivered              9  Hostname verification errors      4  TLS connections (server)         ****** Detailed ************************************************************************************       15  *Warning: Pre-queue content-filter connection overload ----------------------------------     12   After DATA     12     unknown          2   After RCPT     2     unknown          1   After EHLO     1     unknown            4  Reject header ---------------------------------------------------------------------------     4   5.7.1 HTML not allowed. Please Plain text.     4     [email protected]     3      115.74.191.43  unknown     2        Content-Type: text/html;??charset="iso-8859-1"     1        Content-Type: text/html;??charset="Windows-1252"     1      115.75.27.99   unknown     1        Content-Type: text/html;??charset="iso-8859-1"       2  Connections lost ------------------------------------------------------------------------     2   After RCPT     1     124-12-11-231.static.tfn.net.tw      1     200-206-137-248.dsl.telesp.net.br        7  Delivered -------------------------------------------------------------------------------     5   xxxx.528p.com     5     foo     2   528p.com     2     foo     2      root       9  Hostname verification errors ------------------------------------------------------------     7   Name or service not known     3     115.74.191.43  adsl.viettel.vn     2     41.196.187.199  host-41-196-187-199.static.link.com.eg     2     115.75.27.99   adsl.viettel.vn     2   Address not listed for hostname     1     123.24.88.224  localhost     1     222.254.86.183  localhost       4  TLS connections (server) ----------------------------------------------------------------     2   192.168.0.1   xxxx.528p.com     2     Anonymous: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)     2   192.168.0.2   xxxx.528p.com     2     Anonymous: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)      ---------------------- Postfix End -------------------------
Re: Logwatchについて ( No.7 )
日時： 2009/12/15 11:03 名前： hiyo strangerさん、ありがとうございます。 >私のところではfc11のsrc.rpmからCentOS用のrpmを作って使っていますが 確かに自サーバーに比べ詳しいですね! もう少し落ち着いたら(完成したら)取り組んでみたいと思います。 自サーバーの出力の中に「Relay access denied」となっているので、 送受信は無かったと思うのですがそういう事でよろしいでしょうか？ もう一つ、 >from=<[email protected]> to=<[email protected]> proto=SMTP helo=<124.110.136.96> の中の proto=SMTP helo= の意味が分かりません。 「proto」は何か単語の略語だと思いますが、 初心者の私にはチンプンカンプンで分かりません。
Re: Logwatchについて ( No.8 )
日時： 2009/12/15 12:09 名前： stranger 参照： http://ja.528p.com/ proto protcol プロトコル ネットワークを介してコンピュータ同士が通信を行なう為に決めた通信手順や物理的な基準 SMTP（Simple Mail Transfer Protocol）はメールの配信プロトコル HELO RFC 2821によれば、クライアントが最初に発行するSMTPコマンドは EHLO (あるいは対応していなければ HELO) RFC Request for Comments（略称：RFC）はIETFによる技術仕様の保存、公開形式 IETF Internet Engineering Task Force インターネットで利用される技術の標準化を策定する組織 同じ仕様で作らなければ使えないのは初心者でもわかると思う こんなところで良いですか 基本的なことは、net検索で情報を得るほうが、身につくと思う
Re: Logwatchについて ( No.9 )
日時： 2009/12/19 09:14 名前： hiyo strangerさん、ありがとうございます。 >proto >protcol プロトコル はプロトコルの略語でしたか HELO、EHLO、RFCなどは何となく分かっていましたが、 protoは検索でも出てきませんでしたので・・・ 本題の「踏み台」付いて特別のコメントを頂けなかったので、 特に問題無い程度と判断しておきます。 これでスレッドを閉じさせて頂きます。 皆さんどうもありがとうございました。

Page:  [1] [2]

■ その他