アタック！！

久しぶりにブログ書いてますが、errorログにアタックを検出したのでネタにしたいと思います。

まず下記がアタックされている様子のスクリーンショットです。222.185.238.250のGIPからアタックされていることが分かります。

アタック元

という事なので、これは中国からのアタックだという事が分かりますね。ウザイのでそろそろ対策を講じて行きたいと思います。方向性はアタックされるIPがある特定のルールに基づき自動BANされる仕組みをつくって行きます。

ブログを書きながら構成変更完了

○まずは、必要なツールをインストールをする。
sudo yum install fail2ban fail2ban-systemd

○次に、今回閉め出したいアクセスを検出するフィルターを作成する
sudo vi /etc/fail2ban/filter.d/wordpress_filter.conf

[Definition]
failregex = ^<HOST>.*POST.*(wp-login\.php|xmlrpc\.php).*$
            ^<HOST>.*"(GET|POST).*" (404|403) .*$
ignoreregex =

○フィルターを使っての動作を記述する
sudo vi /etc/fail2ban/jail.d/wordpress_jail.conf

[DEFAULT]
bantime  = 43200
findtime  = 3600
maxretry = 3
#banaction = firewallcmd-ipset
banaction = iptables-multiport
backend = gamin
action = %(action_mwl)s
ignoreip = 127.0.0.1/8

[recidive]
enabled = true
bantime = -1
findtime = 259200
maxretry = 2

[sshd]
enabled = true
port = 2345

[wordpress]
enabled = true
filter = wordpress_filter
logpath = /var/log/nginx/*access.log

この辺りで設定した正規表現で該当アクセスを検出できているか？確認
今回で言うと、下記の問題中国からのアタックを閉め出したい訳なので、該当アクセスにヒットしている事を確認

fail2ban-regex /var/log/nginx/access.log /etc/fail2ban/filter.d/wordpress_filter.conf –print-all-matched

|  222.185.238.250 - - [06/May/2019:03:31:21 +0900] "GET /123131/index.php HTTP/1.1" 404 548 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" "-"
|  222.185.238.250 - - [06/May/2019:03:31:21 +0900] "GET /program/index.php HTTP/1.1" 404 548 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" "-"
|  222.185.238.250 - - [06/May/2019:03:31:21 +0900] "GET /shopdb/index.php HTTP/1.1" 404 548 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" "-"
|  222.185.238.250 - - [06/May/2019:03:31:21 +0900] "GET /phppma/index.php HTTP/1.1" 404 548 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" "-"
|  222.185.238.250 - - [06/May/2019:03:31:22 +0900] "GET /phpmy/index.php HTTP/1.1" 404 548 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" "-"

下記で動作をprocessをスタートして状況を確認する

systemctl start fail2ban
systemctl enable fail2ban.service
systemctl status fail2ban

動作確認

[hogehoge@vaaabbb-daada-gfgfldnfkjdbafndsanfdaslnfasdl　]# tail -f fail2ban.log
2019-05-06 16:02:54,087 fail2ban.server         [19532]: INFO    Exiting Fail2ban
2019-05-06 16:09:17,749 fail2ban.actions        [20201]: NOTICE  [wordpress] Ban 106.72.132.224
2019-05-06 16:09:18,066 fail2ban.actions        [20201]: NOTICE  [wordpress] Ban 66.249.71.52
2019-05-06 16:09:18,781 fail2ban.actions        [20201]: NOTICE  [wordpress] Ban 66.249.71.50
2019-05-06 16:09:31,315 fail2ban.actions        [20201]: NOTICE  [wordpress] Unban 106.72.132.224
2019-05-06 16:09:31,524 fail2ban.actions        [20201]: NOTICE  [wordpress] Unban 66.249.71.52
2019-05-06 16:09:31,736 fail2ban.actions        [20201]: NOTICE  [wordpress] Unban 66.249.71.50
2019-05-06 16:09:34,038 fail2ban.actions        [20367]: NOTICE  [wordpress] Ban 106.72.132.224
2019-05-06 16:09:34,462 fail2ban.actions        [20367]: NOTICE  [wordpress] Ban 66.249.71.50
2019-05-06 16:09:34,979 fail2ban.actions        [20367]: NOTICE  [wordpress] Ban 66.249.71.52
2019-05-06 16:22:53,371 fail2ban.actions        [20367]: NOTICE  [wordpress] Ban 126.247.226.253

後は、zabbixで上記BANされたIPの数とUNBANされた数をカウントしてグラフ化するかな！

cat fail2ban.log | grep Ban | wc -l　この辺りをZabbixに叩かせてでた数字をグラフ化すると可視化できる。後ついでにslackにプッシュする設定を行う感じで外に出ている時に知る事が出来ますね。まあ、知った所で何もないんですがｗひとまず、張り付いて見張っている訳にはいかないので、これでいったん自動運転をしようと思います。

という事で、ひとまず、実装はできたのでこれで様子をみようと思います。
それでは、何か参考にして頂ければ幸いです。

その後

いいですねぇ。順調にブロックされているGIPがキャッチ出来ています。ブロックされていても、パケットカウントが増えているので、おそらくクラックツールとかで、プログラム的にRETRYを繰り返しているのかなと思われます。まあ、ぶっちゃそんなツールを入れて直にクラックする奴なんて滅多にいないので、クラックされて侵入されてどこかのサーバやらPCやらの中で動いて居るのだと思いますけどね。まあ、ひとまず、不審な行動をするとBANされて一定時間くると開放されるけど、ある回数BANを繰り返すと、そのIPは永久にBANされたままになる様に設定をしています。とりあえず、他の寄生先を見つけて、違うGIPからアタックをするくらいしかないですが・・・。同様の状況になるので、あまり意味はなさげかなと思います。

 pkts bytes target     prot opt in     out     source               destination
   23  2261 REJECT     all  --  *      *       203.81.114.124       0.0.0.0/0            reject-with icmp-port-unreachable
   19  4476 REJECT     all  --  *      *       153.181.242.38       0.0.0.0/0            reject-with icmp-port-unreachable
   22  3400 REJECT     all  --  *      *       210.188.25.185       0.0.0.0/0            reject-with icmp-port-unreachable
   51  3387 REJECT     all  --  *      *       180.198.72.160       0.0.0.0/0            reject-with icmp-port-unreachable
   16   916 REJECT     all  --  *      *       60.149.92.77         0.0.0.0/0            reject-with icmp-port-unreachable
   16  4926 REJECT     all  --  *      *       118.241.130.248      0.0.0.0/0            reject-with icmp-port-unreachable
   12   552 REJECT     all  --  *      *       115.28.245.132       0.0.0.0/0            reject-with icmp-port-unreachable
  198 11928 REJECT     all  --  *      *       80.250.82.41         0.0.0.0/0            reject-with icmp-port-unreachable
   15  5122 REJECT     all  --  *      *       153.172.130.235      0.0.0.0/0            reject-with icmp-port-unreachable
   69  4140 REJECT     all  --  *      *       66.249.71.52         0.0.0.0/0            reject-with icmp-port-unreachable
   79  4740 REJECT     all  --  *      *       66.249.71.50         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       126.247.226.253      0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       123.217.103.91       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.72.132.224       0.0.0.0/0            reject-with icmp-port-unreachable

The post アタックするの辞めてくれないかな！ first appeared on ～下町物語～.

監視されているのも知らずに！

かれこれもう数ヶ月になろうか？私が管理しているとあるserverに、ポートスキャンをして、応答があるサービスに向かってアタックを開始した。それは、server乗っ取り系のアタックであるが、古典的な手法でのアタックである。こちらも知ってはいながら、どんなことをしてくるか？詳細にログを取りながら手口を伺っていたのですが、そろそろ手を打とうかという事で対応を行った。

どんなアタックを仕掛けてきたか？

まずは、私が契約しているグローバルIPに対してポートスキャンを確認した。次に、あるサイトの開発serverで、複数人で使用しているので、お分かりであろうかと思うのだが、SSHをあけているのだが、もちろん標準ポートではないですよ。先ほどのポートスキャンでＳＳＨサービスが応答してしまったので、それに向かってアタックを仕掛けてきた。

下記がそのアタックの一部抜粋したログである。スクリプトによる辞書アタックな典型的なアタック手法ですね。いろんな文言・言葉・名前などを送ってＩＤがあるかないか？を調べて居る模様が手に取るように分かりますね。このserverですよ、パスワード認証許可しておらず、公開鍵だけの認証にしているので、鍵を持ってこないとまず入れる事はないのです。また、前段にIPSがいてパケット単位で監視しているサーバになります。

Apr 1 03:48:01 stg sshd[32096]: input_userauth_request: invalid user beppie
Apr 1 03:54:12 stg sshd[32196]: input_userauth_request: invalid user berangere
Apr 1 04:00:22 stg sshd[32292]: input_userauth_request: invalid user berd
Apr 1 04:06:32 stg sshd[32395]: input_userauth_request: invalid user berenice
Apr 1 04:12:39 stg sshd[32487]: input_userauth_request: invalid user berenice
Apr 1 04:18:48 stg sshd[32582]: input_userauth_request: invalid user berenice
Apr 1 04:24:54 stg sshd[32677]: input_userauth_request: invalid user beret
Apr 1 04:31:01 stg sshd[302]: input_userauth_request: invalid user berg
Apr 1 04:37:07 stg sshd[400]: input_userauth_request: invalid user berger
Apr 1 04:43:14 stg sshd[499]: input_userauth_request: invalid user berget
Apr 1 04:49:18 stg sshd[595]: input_userauth_request: invalid user berk
Apr 1 04:55:22 stg sshd[688]: input_userauth_request: invalid user berna
Apr 1 05:01:25 stg sshd[791]: input_userauth_request: invalid user bernabe
Apr 1 05:07:29 stg sshd[889]: input_userauth_request: invalid user bernabeu
Apr 1 05:13:31 stg sshd[983]: input_userauth_request: invalid user bernadene
Apr 1 05:19:32 stg sshd[1078]: input_userauth_request: invalid user bernadette
Apr 1 05:25:34 stg sshd[1170]: input_userauth_request: invalid user bernadette
Apr 1 05:31:36 stg sshd[1262]: input_userauth_request: invalid user bernadette
Apr 1 05:37:37 stg sshd[1361]: input_userauth_request: invalid user bernadina
Apr 1 05:43:37 stg sshd[1453]: input_userauth_request: invalid user bernadine
Apr 1 05:49:37 stg sshd[1548]: input_userauth_request: invalid user bernadine
Apr 1 05:55:37 stg sshd[1640]: input_userauth_request: invalid user bernadine
Apr 1 06:01:38 stg sshd[1765]: input_userauth_request: invalid user bernard
Apr 1 06:07:39 stg sshd[1861]: input_userauth_request: invalid user bernard
Apr 1 06:13:39 stg sshd[1971]: input_userauth_request: invalid user bernarda
Apr 1 06:19:38 stg sshd[2066]: input_userauth_request: invalid user bernardina
Apr 1 06:25:39 stg sshd[2158]: input_userauth_request: invalid user bernardo
Apr 1 06:31:40 stg sshd[2250]: input_userauth_request: invalid user bernd
Apr 1 06:37:39 stg sshd[2342]: input_userauth_request: invalid user bernhard
Apr 1 06:43:40 stg sshd[2434]: input_userauth_request: invalid user berni
Apr 1 06:49:41 stg sshd[2526]: input_userauth_request: invalid user bernice
Apr 1 06:55:42 stg sshd[2618]: input_userauth_request: invalid user bernice
Apr 1 07:01:43 stg sshd[2721]: input_userauth_request: invalid user bernice
Apr 1 07:07:44 stg sshd[2813]: input_userauth_request: invalid user berri
Apr 1 07:13:45 stg sshd[2905]: input_userauth_request: invalid user berrie
Apr 1 07:19:48 stg sshd[3000]: input_userauth_request: invalid user bert
Apr 1 07:25:49 stg sshd[3092]: input_userauth_request: invalid user bertha
Apr 1 07:31:54 stg sshd[3187]: input_userauth_request: invalid user bertha
Apr 1 07:37:56 stg sshd[3279]: input_userauth_request: invalid user bertha
Apr 1 07:43:58 stg sshd[3371]: input_userauth_request: invalid user bertille
Apr 1 07:50:01 stg sshd[3463]: input_userauth_request: invalid user bertille
Apr 1 07:56:04 stg sshd[3556]: input_userauth_request: invalid user bertille
Apr 1 08:02:06 stg sshd[3661]: input_userauth_request: invalid user bertram
Apr 1 08:08:09 stg sshd[3756]: input_userauth_request: invalid user bertrand
Apr 1 08:14:12 stg sshd[3852]: input_userauth_request: invalid user bery
Apr 1 08:20:18 stg sshd[3949]: input_userauth_request: invalid user beryl
Apr 1 08:26:23 stg sshd[4042]: input_userauth_request: invalid user beryl
Apr 1 08:32:27 stg sshd[4134]: input_userauth_request: invalid user beryl
Apr 1 08:38:33 stg sshd[4226]: input_userauth_request: invalid user beryle
Apr 1 08:44:41 stg sshd[4318]: input_userauth_request: invalid user beshi
Apr 1 08:50:47 stg sshd[4410]: input_userauth_request: invalid user bess
Apr 1 08:56:54 stg sshd[4505]: input_userauth_request: invalid user bess
Apr 1 09:03:02 stg sshd[4608]: input_userauth_request: invalid user bess
Apr 1 09:09:12 stg sshd[4708]: input_userauth_request: invalid user bessie
Apr 1 09:15:25 stg sshd[4804]: input_userauth_request: invalid user bessie
Apr 1 09:21:38 stg sshd[4899]: input_userauth_request: invalid user bessie
Apr 1 09:27:50 stg sshd[4991]: input_userauth_request: invalid user bessy
Apr 1 09:34:04 stg sshd[5088]: input_userauth_request: invalid user best
Apr 1 09:40:18 stg sshd[5191]: input_userauth_request: invalid user bestman

どこからよ！？

って実IPいりですよｗ今回だけ特別ですからね。中国から発信されているっぽですね。以前は166.111.5.141だけだったのですが最近３カ所からアタックし始めたのでウザイので泳がせずブロックする事にしました。見て分かる通り、気づかれないように時間も数分に１度程度のアタックを継続して送ってくる奴っぽいですね。とはいえですね、茶番に付き合う気はないのでとっととブロックです。

泳がすこと数ヶ月、下記のアタック回数となってます。ひどいですよねぇ。

[root@stg ~]# cat /var/log/secure* | grep 166.111.5.141 | wc -l
334

[root@stg ~]# cat /var/log/secure* | grep 103.235.247.242 | wc -l

15281

IPひろばで調べて見ると！中華人民共和国ってでてますね。

ここら辺りからアクセスされているっぽです。まあ、プロバイダーの所在地でしょうけど。

ブログ的には、記事になる案件なのでいいのですが、個人的には人のサーバにログインしてやろうなんてけしからん訳です。皆様も個人的な趣味・趣向でクラックなんかしてると、国内には不正アクセス禁止法なるものが存在していますので、痛い目を見るかも知れませんよ。くれぐれもやめておいた方がいいですよ。

ブロックしたIPは？

ポリシーは詳しくは言えませんが、ブロックしたのはこのIPの32ビットマスクでブロックしてだけではありません。むしろ/32なんかでブロックする訳がありません。もう分かりましたよね？はい。まあそういう事ですね。

結論

ブロックして、１時間程度で３つIPからのアタックは停止したようです。向こうからしてみれば、IPが変わったんだろう程度だろうですが、アタックしている事もログを取って監視されているという事をお忘れ無く！

The post 中国からのアタック！監視されているのも知らずに！ first appeared on ～下町物語～.

中国でラーメンの自販機がリリース

中国で「麺の自動販売機」登場！たった45秒でアツアツの麺がいただけます

２種類のメニューをから選んでポチッと押して

４５秒待てば、熱々のラーメンができあがってでてくるという。

なんか、ちゃんとしてそうなのが出てくるようです。美味しそうですね。

しかも、蓋がしてあるので、オフィースへの持ち帰りなども、出来る様に考慮されているようですが、よく見ると真ん中にでっかい穴が開いてますね。

そこから、スープを入れたり湯切りをする感じなのでしょう。湯切りはしておらず、スープで麺をほぐしているだけかも知れません。Packageを破ってスープ入れて、あとは浸透してるのを待っている時間で４５秒って感じですかね。

一度食べに上海に向かおうかな。年内は無理そうだから、来年どこかで一回取材がてら行ってきてもいいかも知れませんね、。

The post 中国にもラーメンの自販機登場 first appeared on ～下町物語～.

台風１８号最新情報

今現在、東シナ海を北上しており、今後九州・四国・中国地方を総なめした後、日本海側に抜けて再度東北に再上陸し、北海道と進みそうな予報となっています。勢力は、955hPaであり、昨夜から若干衰えた感じですかね。

予想されている最大雨量は？

18日6時までの24時間に予想される雨量は、多いところで、九州北部地方、四国地方、近畿地方　300から400ミリ・九州南部、中国地方、東海地方、関東地方、甲信地方　200から300ミリとなるようです。

東京の今後

明日１７日の朝から１８日朝にかけて暴風雨となる予定です。明日は外出を控えて頂く様にお願いしたいです。けして、海を見に行ったり河の水位を見に行ったりしないでください。よく、それで帰らぬ人になっているのを見かけます。くれぐれもご注意ください。

東京現在の気象情報は？

気圧が下がり始めました。前回の記事では、1019.1hPaだったので現在画像の通り1018.2hPaですね。既に曇っているので日照も200w/m3を越えていません。流石に紫外線指数は１です。外気温は22.7℃秋の風が吹いてます。これを書いてる部屋は相変わらず真空管の暑さとＰＣとサーバが動いていりる関係で冷房を使って居ますが。続報は定期的に書いて行こうと思いますが、今夜からちょっと群馬に行こうと思うので、若干記事を書く時間がないかも知れません。

The post 台風１８号続報 first appeared on ～下町物語～.

台風3号情報

台風3号は、かなり気圧が高めの小さな台風である為、

速度が早めで明日早ければ、夕方から関東に影響が出始めそう・・・。

下記気圧配置でみると、東北に梅雨前線があり、

そこの前線の手前にそって太平洋側に抜けると想定される。

北海道に高気圧があり、前線を押し下げようと働いている為、前線が押し下げられて

九州から中国・四国地方を横断して、関西・東海・関東と総なめにして、太平洋に抜ける。

ただ、気圧は高めだから上陸すると、水蒸気の供給がなくなる為、勢力が急速に縮小する可能性は高い。

関東への影響について

今のところ、雨や風のピークは4日(火)の夜遅くから5日(水)の明け方です。

雨の降る時間は比較的短いですが、一時的に土砂降りとなる所もあるでしょう。

台風の進路や速度、発達具合によっては、強い雨の時間がずれる可能性もありますので、

最新の情報をチェックしましょう。

The post 台風がきておる！台風3号　九州から関東を横断する感じ？ first appeared on ～下町物語～.