アタック！！

久しぶりにブログ書いてますが、errorログにアタックを検出したのでネタにしたいと思います。

まず下記がアタックされている様子のスクリーンショットです。222.185.238.250のGIPからアタックされていることが分かります。

アタック元

という事なので、これは中国からのアタックだという事が分かりますね。ウザイのでそろそろ対策を講じて行きたいと思います。方向性はアタックされるIPがある特定のルールに基づき自動BANされる仕組みをつくって行きます。

ブログを書きながら構成変更完了

○まずは、必要なツールをインストールをする。
sudo yum install fail2ban fail2ban-systemd

○次に、今回閉め出したいアクセスを検出するフィルターを作成する
sudo vi /etc/fail2ban/filter.d/wordpress_filter.conf

[Definition]
failregex = ^<HOST>.*POST.*(wp-login\.php|xmlrpc\.php).*$
            ^<HOST>.*"(GET|POST).*" (404|403) .*$
ignoreregex =

○フィルターを使っての動作を記述する
sudo vi /etc/fail2ban/jail.d/wordpress_jail.conf

[DEFAULT]
bantime  = 43200
findtime  = 3600
maxretry = 3
#banaction = firewallcmd-ipset
banaction = iptables-multiport
backend = gamin
action = %(action_mwl)s
ignoreip = 127.0.0.1/8

[recidive]
enabled = true
bantime = -1
findtime = 259200
maxretry = 2

[sshd]
enabled = true
port = 2345

[wordpress]
enabled = true
filter = wordpress_filter
logpath = /var/log/nginx/*access.log

この辺りで設定した正規表現で該当アクセスを検出できているか？確認
今回で言うと、下記の問題中国からのアタックを閉め出したい訳なので、該当アクセスにヒットしている事を確認

fail2ban-regex /var/log/nginx/access.log /etc/fail2ban/filter.d/wordpress_filter.conf –print-all-matched

|  222.185.238.250 - - [06/May/2019:03:31:21 +0900] "GET /123131/index.php HTTP/1.1" 404 548 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" "-"
|  222.185.238.250 - - [06/May/2019:03:31:21 +0900] "GET /program/index.php HTTP/1.1" 404 548 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" "-"
|  222.185.238.250 - - [06/May/2019:03:31:21 +0900] "GET /shopdb/index.php HTTP/1.1" 404 548 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" "-"
|  222.185.238.250 - - [06/May/2019:03:31:21 +0900] "GET /phppma/index.php HTTP/1.1" 404 548 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" "-"
|  222.185.238.250 - - [06/May/2019:03:31:22 +0900] "GET /phpmy/index.php HTTP/1.1" 404 548 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" "-"

下記で動作をprocessをスタートして状況を確認する

systemctl start fail2ban
systemctl enable fail2ban.service
systemctl status fail2ban

動作確認

[hogehoge@vaaabbb-daada-gfgfldnfkjdbafndsanfdaslnfasdl　]# tail -f fail2ban.log
2019-05-06 16:02:54,087 fail2ban.server         [19532]: INFO    Exiting Fail2ban
2019-05-06 16:09:17,749 fail2ban.actions        [20201]: NOTICE  [wordpress] Ban 106.72.132.224
2019-05-06 16:09:18,066 fail2ban.actions        [20201]: NOTICE  [wordpress] Ban 66.249.71.52
2019-05-06 16:09:18,781 fail2ban.actions        [20201]: NOTICE  [wordpress] Ban 66.249.71.50
2019-05-06 16:09:31,315 fail2ban.actions        [20201]: NOTICE  [wordpress] Unban 106.72.132.224
2019-05-06 16:09:31,524 fail2ban.actions        [20201]: NOTICE  [wordpress] Unban 66.249.71.52
2019-05-06 16:09:31,736 fail2ban.actions        [20201]: NOTICE  [wordpress] Unban 66.249.71.50
2019-05-06 16:09:34,038 fail2ban.actions        [20367]: NOTICE  [wordpress] Ban 106.72.132.224
2019-05-06 16:09:34,462 fail2ban.actions        [20367]: NOTICE  [wordpress] Ban 66.249.71.50
2019-05-06 16:09:34,979 fail2ban.actions        [20367]: NOTICE  [wordpress] Ban 66.249.71.52
2019-05-06 16:22:53,371 fail2ban.actions        [20367]: NOTICE  [wordpress] Ban 126.247.226.253

後は、zabbixで上記BANされたIPの数とUNBANされた数をカウントしてグラフ化するかな！

cat fail2ban.log | grep Ban | wc -l　この辺りをZabbixに叩かせてでた数字をグラフ化すると可視化できる。後ついでにslackにプッシュする設定を行う感じで外に出ている時に知る事が出来ますね。まあ、知った所で何もないんですがｗひとまず、張り付いて見張っている訳にはいかないので、これでいったん自動運転をしようと思います。

という事で、ひとまず、実装はできたのでこれで様子をみようと思います。
それでは、何か参考にして頂ければ幸いです。

その後

いいですねぇ。順調にブロックされているGIPがキャッチ出来ています。ブロックされていても、パケットカウントが増えているので、おそらくクラックツールとかで、プログラム的にRETRYを繰り返しているのかなと思われます。まあ、ぶっちゃそんなツールを入れて直にクラックする奴なんて滅多にいないので、クラックされて侵入されてどこかのサーバやらPCやらの中で動いて居るのだと思いますけどね。まあ、ひとまず、不審な行動をするとBANされて一定時間くると開放されるけど、ある回数BANを繰り返すと、そのIPは永久にBANされたままになる様に設定をしています。とりあえず、他の寄生先を見つけて、違うGIPからアタックをするくらいしかないですが・・・。同様の状況になるので、あまり意味はなさげかなと思います。

 pkts bytes target     prot opt in     out     source               destination
   23  2261 REJECT     all  --  *      *       203.81.114.124       0.0.0.0/0            reject-with icmp-port-unreachable
   19  4476 REJECT     all  --  *      *       153.181.242.38       0.0.0.0/0            reject-with icmp-port-unreachable
   22  3400 REJECT     all  --  *      *       210.188.25.185       0.0.0.0/0            reject-with icmp-port-unreachable
   51  3387 REJECT     all  --  *      *       180.198.72.160       0.0.0.0/0            reject-with icmp-port-unreachable
   16   916 REJECT     all  --  *      *       60.149.92.77         0.0.0.0/0            reject-with icmp-port-unreachable
   16  4926 REJECT     all  --  *      *       118.241.130.248      0.0.0.0/0            reject-with icmp-port-unreachable
   12   552 REJECT     all  --  *      *       115.28.245.132       0.0.0.0/0            reject-with icmp-port-unreachable
  198 11928 REJECT     all  --  *      *       80.250.82.41         0.0.0.0/0            reject-with icmp-port-unreachable
   15  5122 REJECT     all  --  *      *       153.172.130.235      0.0.0.0/0            reject-with icmp-port-unreachable
   69  4140 REJECT     all  --  *      *       66.249.71.52         0.0.0.0/0            reject-with icmp-port-unreachable
   79  4740 REJECT     all  --  *      *       66.249.71.50         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       126.247.226.253      0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       123.217.103.91       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.72.132.224       0.0.0.0/0            reject-with icmp-port-unreachable

The post アタックするの辞めてくれないかな！ first appeared on ～下町物語～.

ダイエット6日目です。

現状を報告すると、-2.3kg減量に成功しました。とりあえず1ヶ月5キロくらいだったか？目処にダイエットすることが必要と言われてたので、まあ、それに基づいてダイエットを実施しています。ただ、ぶっちゃけ今回で言うと、全く苦労してないというか、あまり我慢してやっている感覚は無いです。初日とかは、ちょっといつもと違うので、体が食べる様に要求してきましたが、2日目・3日目とくると全く、そんな事は無くなってきました。夜は普通に食べますしね。いつも通りです。

夜を制限する方が良い

そんな事は分かっているんですよ！！夜は、もう寝るだけだからそんなに食べないで良いのは分かっているのですが、会合・打ち合わせ・会議後の飲み会など、普通考えれば、今ダイエット中だから食べれませんよとか、ダイエット中なので飲めないんですって言うとしらけますよね？なので、夜は普通に食べて問題ないです。それに、夜食べても結局夜中まで仕事しているので、そこで十分カロリーは消費しているんです。なので大丈夫なんですよ。

通常１日の食事

朝　・おにぎり2つ　出来るだけカロリーが少ない物を選定する
　　・アイスコーヒー（いわゆるレイコー）ミルクのみ入れる　ガムシロ禁止！
昼　・出来るだけカロリーが低い野菜サラダ＋こんにゃく麺入りの物か無ければ野菜サラダ
　　・スープ（出来れば暖かい物が良い）無ければ冷静スープ150kcal程度目安
夜　・普通に食事
ここでのポイントとしては、朝・昼の食事で、摂取カロリーを600kcal程度に押さえておくことです
。夜普通に食べるので、夜摂取するカロリーが1000kcal位を想定していると、おにぎり2つがけっこうカロリーがあるので、全体で1900kcal以内で押さえる事が最低条件なんです。先日から基礎代謝って話をしておりますが、基礎代謝は、じっとしてても、生命活動によって消費されるエネルギー量なので、全く運動をしない前提で、このカロリーより低い水準を維持すれば、必然的に痩せていきます。なので、基礎代謝-摂取カロリ＝体内から燃やされるエネルギー量です。

ただ、全く運動しないって行っても、トイレに行ったり風呂入ったり当然しますよね？なので、＋100kcalや200kcalは＋で消費されているんですよ。なので、普通にどんどん減っていく感じですね。もしブーストをかけたいのであれば、ダイエットシェイクを使う方法を考えています。次の項目で書きますね。

ブースト１日の食事

朝ダイエットシェイク、60kcalを1杯家で飲んで行きます。朝ご飯はこれで終了です。10時から仕事ってのもあるので、以外にすぐ昼が来ますので、昼は夜まで長いので100kcalのシェイクを1杯飲みます。これで夜までで、160kcalしか取らない話になります。それに夜は普通に食べたとしても、トータル摂取カロリから基礎代謝と運動量分を差し引いても、かなり体内から燃やさざる終えないエネルギー量です。こうなってくると、もっと早く体重は落ちるでしょうね。

本当は！？

ダイエットを開始する前に、48時間程度のデトックスで水だけで過ごす断食をしてから、ダイエットをするのが良いと思いますが、今回は、ちょっと急ぎのダイエットってのもあって、実施しておりません。このまま行くと冬までにはとりあえず10キロ減位の水準にいけると思うので、翌年も10キロくらいのダイエットをして、進めて行きたいと思っています。

ダイエットして良かったこと！

・昼間めっちゃ眠たくモンスターばかり飲んでいたのですが、ダイエットしてからは、一切眠くなくなりました。若干お腹が減っているからからかも知れませんね。とりあえず今週は全くモンスターを飲まずに入れました。素晴らしい話ですね。どんどん痩せて素晴らしい世界を楽しみましょうか。

The post ダイエット6日目です。－2.3キロ達成 first appeared on ～下町物語～.