不正アクセス対策を行なってサーバーが安定した件
下記ページで対策を行った結果、それからはサーバが固まることもなく10日以上正常動作しているようで、どうやら安定したようです。思えばこれが原因でcoreserverから制限を食らったのではないかと考えると、なんとも言えない感情がこみ上げますが、まあ、いずれは引っ越そうと考えていたので、よいきっかけだったと考えます。が、ということはMovable Type設置してる人は全滅なのだろうか?思ったりするのですがどうなんでしょう?まあ、転送量も多かったんですけどね。(まあ、その転送量も中華からのろくでもないアクセスのせいで、増えていた可能性もありますが)
で、対策のほうですが、その後もmt-kiss-mint.cgi(実態はmt-comment.cgi)に対する不正と思われるIPアドレスからのアクセスがあるので、拒否の定義をどんどん追加した結果/etc/sysconfig/iptablesは以下のようになっています。
ほぼ9割方が中華でその他にはロシアやウクライナとかウズベキスタンなどのあっち方面ですね。イギリスやアメリカなども多少含まれています。
赤字がアクセス拒否の定義です。アドレス範囲ごとざっくりとアクセス制限をかけています。今日は中華からのアクセスは0件になってました。アメリカから3件フランスから1件アクセスがあっただけでした。
/etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Wed Nov 21 17:22:27 2012
*nat
:PREROUTING ACCEPT [103508:6036025]
:POSTROUTING ACCEPT [186845:14774776]
:OUTPUT ACCEPT [186845:14774776]
COMMIT
# Completed on Wed Nov 21 17:22:27 2012
# Generated by iptables-save v1.4.7 on Wed Nov 21 17:22:27 2012
*mangle
:PREROUTING ACCEPT [1553182:278282129]
:INPUT ACCEPT [1552974:278238397]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1295501:1863759018]
:POSTROUTING ACCEPT [1295501:1863759018]
COMMIT
# Completed on Wed Nov 21 17:22:27 2012
# Generated by iptables-save v1.4.7 on Wed Nov 21 17:22:27 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [456:500527]
-A INPUT -s 89.64.0.0/12 -j DROP
-A INPUT -s 120.80.0.0/13 -j DROP
-A INPUT -s 112.124.0.0/14 -j DROP
-A INPUT -s 1.192.0.0/13 -j DROP
-A INPUT -s 109.163.224.0/20 -j DROP
-A INPUT -s 112.100.0.0/14 -j DROP
-A INPUT -s 113.212.64.0/19 -j DROP
-A INPUT -s 115.24.0.0/14 -j DROP
-A INPUT -s 119.176.0.0/12 -j DROP
-A INPUT -s 119.254.0.0/15 -j DROP
-A INPUT -s 120.40.0.0/14 -j DROP
-A INPUT -s 183.0.0.0/10 -j DROP
-A INPUT -s 2.92.0.0/14 -j DROP
-A INPUT -s 218.204.0.0/15 -j DROP
-A INPUT -s 218.24.0.0/15 -j DROP
-A INPUT -s 219.128.0.0/12 -j DROP
-A INPUT -s 222.208.0.0/13 -j DROP
-A INPUT -s 61.55.0.0/16 -j DROP
-A INPUT -s 61.55.0.0/16 -j DROP
-A INPUT -s 58.48.0.0/13 -j DROP
-A INPUT -s 221.4.0.0/16 -j DROP
-A INPUT -s 221.232.0.0/14 -j DROP
-A INPUT -s 110.80.0.0/13 -j DROP
-A INPUT -s 125.88.0.0/13 -j DROP
-A INPUT -s 178.137.0.0/16 -j DROP
-A INPUT -s 180.96.0.0/11 -j DROP
-A INPUT -s 183.192.0.0/10 -j DROP
-A INPUT -s 195.190.13.0/24 -j DROP
-A INPUT -s 198.143.128.0/18 -j DROP
-A INPUT -s 205.164.0.0/18 -j DROP
-A INPUT -s 218.26.0.0/16 -j DROP
-A INPUT -s 223.202.0.0/15 -j DROP
-A INPUT -s 23.19.0.0/16 -j DROP
-A INPUT -s 36.248.0.0/14 -j DROP
-A INPUT -s 46.21.144.0/20 -j DROP
-A INPUT -s 58.208.0.0/12 -j DROP
-A INPUT -s 59.56.0.0/14 -j DROP
-A INPUT -s 91.224.246.0/23 -j DROP
-A INPUT -s 82.145.32.0/19 -j DROP
-A INPUT -s 173.208.128.0/17 -j DROP
-A INPUT -s 199.15.232.0/21 -j DROP
-A INPUT -s 142.91.0.0/16 -j DROP
-A INPUT -s 175.42.0.0/15 -j DROP
-A INPUT -s 69.73.0.0/17 -j DROP
-A INPUT -s 91.207.4.0/22 -j DROP
-A INPUT -s 91.237.249.0/24 -j DROP
-A INPUT -s 119.96.0.0/13 -j DROP
-A INPUT -s 119.96.0.0/13 -j DROP
-A INPUT -s 142.4.117.137/32 -j DROP
-A INPUT -s 192.162.19.0/24 -j DROP
-A INPUT -s 91.207.8.0/23 -j DROP
-A INPUT -s 91.207.8.0/23 -j DROP
-A INPUT -s 61.135.0.0/16 -j DROP
-A INPUT -s 27.152.0.0/13 -j DROP
-A INPUT -s 175.44.0.0/16 -j DROP
-A INPUT -s 117.24.0.0/13 -j DROP
-A INPUT -s 112.111.0.0/16 -j DROP
-A INPUT -s 113.31.0.0/16 -j DROP
-A INPUT -s 114.240.0.0/12 -j DROP
-A INPUT -s 121.204.0.0/14 -j DROP
-A INPUT -s 219.154.0.0/15 -j DROP
-A INPUT -s 220.160.0.0/11 -j DROP
-A INPUT -s 220.200.0.0/13 -j DROP
-A INPUT -s 222.76.0.0/14 -j DROP
-A INPUT -s 58.22.0.0/15 -j DROP
-A INPUT -s 59.60.0.0/15 -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp –dport 10022 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 25 -j ACCEPT
-A INPUT -p tcp -m state –state NEW -m tcp –dport 10100:10150 -j ACCEPT
COMMIT
# Completed on Wed Nov 21 17:22:27 2012
vi /etc/sysconfig/iptablesで編集したら
service iptables restartでiptablesをリスタートします。
タグ : iptables, Linux, Movable Type, セキュリティー