[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[bjlug-ml] Re: how can I read log files?

To: bjlug-ml@bjlug.org
Subject: [bjlug-ml] Re: how can I read log files?
From: Masami Kobayashi <masami@tncc.suginami.tokyo.jp>
Date: Thu, 14 Jun 2001 13:20:02 -0400 (EDT)
In-Reply-To: <00b101c0f4e2$2073cc60$b30410ac@qa117>
List-Help: <mailto:bjlug-ml-ctl@bjlug.org?body=help>
List-Owner: <mailto:bjlug-ml-admin@bjlug.org>
List-Post: <mailto:bjlug-ml@bjlug.org>
List-Software: fml [fml 4.0 (20010115)]
List-Unsubscribe: <mailto:bjlug-ml-ctl@bjlug.org?body=unsubscribe>
References: <200106100646.f5A6kxH14270@lazybird.tncc.suginami.tokyo.jp><20010611101744.BE23.KOIZUMI@infonetplus.com><200106112225.f5BMPfO82737@lazybird.tncc.suginami.tokyo.jp><000d01c0f38b$4cebcf20$b64188d2@celeron><200106130249.f5D2n6H34118@lazybird.tncc.suginami.tokyo.jp><003001c0f45c$a9fa5de0$f66be5ca@celeron><20010613200848.A14533@bjlug.org><200106140215.f5E2FQo77978@lazybird.tncc.suginami.tokyo.jp><002301c0f4c7$0454a7e0$4984fea9@celeron><200106141300.f5ED0Q396645@lazybird.tncc.suginami.tokyo.jp><00b101c0f4e2$2073cc60$b30410ac@qa117>
Reply-To: bjlug-ml@bjlug.org

>>>>> On Thu, 14 Jun 2001 10:54:35 -0400, "gutara" <k@gutara.com> said:

    > お久しぶりです、こんにちは。

お久しぶりです。


    > 1） 外部からのアクセスログはどのように取られてますか？

mail server や web server が動いてるポート(25とか80とか)は、その
サーバがログを取ってますよね。それら以外のポートに対して外からア
クセスがあったとき、うちでは返答せずに単にパケットを捨て去るよう
に設定してます。これはパケットフィルタという仕組みで実現してます。
(うちの場合は IPFW)

この「捨て去る」ときにログを残すようにパケットフィルタのルールを
書いてるんです。



    > 2） 「セキュリティホールを探すアクセス」という行為は、ログファイル中、どのよ
    > うに記述されているのでしょうか？

たとえば web server のログだと、

  [Tue, 22 May 2001 19:46:03 GMT] [error]   202.98.6.135 "GET x HTTP/1.0" Not Found (404)

なんていうのがちょくちょくあります。これはクラック用のスクリプト
が web server の version を調べるために残す足跡として知られてい
るらしいです。もちろん既知のセキュリティホールを持つ web server
を探しているわけです。

パケットフィルタのログだと、

   Jun 12 02:27:40 lazybird /kernel: ipfw: 1900 Deny TCP 202.198.240.5:4768 207.180.184.126:53 in via xl0

なんていうのがよく残っています。これだけではTCPパケットがポート
53(DNS)に届いた、ということしかわかりませんけれど、おそらく1月末
に明らかになった BIND(named) のセキュリティホールを探してると考
えられます。(うちはネームサーバを動かしてないので、リクエストし
ない限り port 53 へのアクセスが起こるはずがないので)

ちなみにこの named の穴は深刻で、あっという間に root 取られます。
私の管理下ではありませんけれど、tncc.suginami.tokyo.jp のネーム
サーバは、今年の2月にプライマリ、セカンダリともほぼ同時に落とさ
れました。rootは取られなかったらしいですが。

こんな話もあります。
http://home.jp.FreeBSD.org/cgi-bin/showmail/FreeBSD-users-jp/62179


特に多いのは DNS(53), RPC(111), NETBIOS(137) かなぁ。他にもいろ
いろなportに来ますけれど。



    > 先行者↓とかに。

先行者はアチコチで大人気ですね:-) あの顔がいい。

-- 
Masami Kobayashi / Brookline, MA
masami@tncc.suginami.tokyo.jp
masami@tncc.jp (試験中)

References:
- [bjlug-ml] セキュリティホール memo ML
  - From: Masami Kobayashi <masami@tncc.suginami.tokyo.jp>
- [bjlug-ml] Re: セキュリティホール memo ML
  - From: Makoto Koizumi <koizumi@infonetplus.com>
- [bjlug-ml] Re: セキュリティホール memo ML
  - From: Masami Kobayashi <masami@tncc.suginami.tokyo.jp>
- [bjlug-ml] はじめまして
  - From: "ichigo" <ichigo15@palette.plala.or.jp>
- [bjlug-ml] Re: はじめまして
  - From: Masami Kobayashi <masami@tncc.suginami.tokyo.jp>
- [bjlug-ml] Re: はじめまして
  - From: "ichigo" <ichigo15@palette.plala.or.jp>
- [bjlug-ml] Re: はじめまして
  - From: Katsunori Tanaka <ktanaka7@mediaone.net>
- [bjlug-ml] Re: はじめまして
  - From: Masami Kobayashi <masami@tncc.suginami.tokyo.jp>
- [bjlug-ml] Re: はじめまして
  - From: "ichigo" <ichigo15@palette.plala.or.jp>
- [bjlug-ml] Re: はじめまして
  - From: Masami Kobayashi <masami@tncc.suginami.tokyo.jp>
- [bjlug-ml] how can I read log files?
  - From: "gutara" <k@gutara.com>

Prev by Date: [bjlug-ml] Re: how can I read log files?
Next by Date: [bjlug-ml] Re: how can I read log files?
Prev by thread: [bjlug-ml] Re: how can I read log files?
Next by thread: [bjlug-ml] Re: はじめまして
Index(es):
- Date
- Thread