投稿日:2002年02月26日 作成鷹の巣

No.1652 ポート80を開けたとたん。



ポート80を開けたとたん。

No.1652 投稿時間:2002年02月26日(Tue) 18:07 投稿者名:OAK URL:

HTTPサーバーをバーチャルドメインで立てたく、ここの説明を読みましたが、
あいにくアパッチでないようで、参考にならずいろいろ探してやっと設定を終えました。

ルータのポート80を開いたとたん、次から次へとアクセスがあるのですねびっくりしました。
今日6時間残して、5000ものエラーアタックがあり、そのログファイルだけで、アクセス、エラー
あわせて1Mバイトにもなります。皆さんこんなに多いのでしょうか?
発信元は数カ所のようですが、ウイルスによるものらしく、linux サーバーなのに、Dos File を
GETしに来ます。

こういうのはルータで止めるものなのでしょうか?それともサーバーにファイヤーウオールをたてますか
あるいはほっときますか。みなさんどうしてますか?


私の場合は、不正アクセスもログに記録しています。

No.1655 投稿時間:2002年02月26日(Tue) 22:05 投稿者名:鷹の巣 URL:http://sakaguch.com/

> ルータのポート80を開いたとたん、次から次へとアクセスがあるのですねびっくりしました。
> 今日6時間残して、5000ものエラーアタックがあり、そのログファイルだけで、アクセス、エラー
> あわせて1Mバイトにもなります。皆さんこんなに多いのでしょうか?


OAKさんのグローバルIPアドレスとその類似IPアドレス内の感染サーバー数に依存する話なので、運が悪い方ではないでしょうか。


> 発信元は数カ所のようですが、ウイルスによるものらしく、linux サーバーなのに、Dos File を
> GETしに来ます。


エラーアタックというのは、「下手な鉄砲も数打ちゃ当たる」式で、IPアドレスの番号を1つずつ増加させてアクセスして来ますから、
アクセス先のOAKさんのOSやディレクトリ構造を理解して「GETメソッド」を実行する訳ではありません。


> こういうのはルータで止めるものなのでしょうか?それともサーバーにファイヤーウオールをたてますか


サービスポート80番から入ってくるアクセスのフィルタリングは、アクセス元のIPアドレスで、はじくことになりますが、
WWWサーバーでアクセス拒否してもエラー内容が404エラー(ドキュメントがないか、読み込みができません。)から
403エラー(ドキュメントにアクセスする権限がありません)に変わるだけであり、ログファイルの容量減少に寄与しません。
従って、ルータがファイオウォールで弾くことになります。


> あるいはほっときますか。みなさんどうしてますか?


私の場合は、不正アクセスもログに記録しています。
エラーログが迷惑であれば、解析する値打ちのない既知のワーム等で、アクセス元のIPアドレスが特定できるものは、ログに記録しなくてもよいでしょう。

ホームページが日本語だけの場合は、「JPNICがネームサーバの管理をしているIPアドレス」
http://www.nic.ad.jp/jp/regist/dns/doc/jp-addr-block.html
でフィルタをかけて、海外からアクセスを受け付けないようにするのも一つの方法です。
(中国や韓国からのまともなアクセスもあるので、お薦めしません。)

「自宅サーバーを開局しよう」さん
http://mebius.zive.net/
の「国内IP一覧」
http://mebius.zive.net/jip010622.txt
にも、上記の日本国内IPアドレスに127.0.0.1と LAN内のIPの192.168.*.* を追加されたものがあります。


アドバイスありがとございます

No.1696 投稿時間:2002年03月01日(Fri) 12:26 投稿者名:OAK URL:

> 「自宅サーバーを開局しよう」さん
> http://mebius.zive.net/
> の「国内IP一覧」
> http://mebius.zive.net/jip010622.txt
> にも、上記の日本国内IPアドレスに127.0.0.1と LAN内のIPの192.168.*.* を追加されたものがあります。

アドバイスありがとございます
ログを解析したところ、61.182.*.* と 218.2.*.* で8割以上をしめていました。
おえていただいたURLによると国内でないようで、ルータでこの2つをとめたところ、
不正アクセスは大変少なくなりましたので、しばらくこれで様子をみます。


|目次|掲示板|過去ログ目次|▲頁先頭|