Top過去ログ目次掲示板

作成日:2003年11月07日 作成:おやじ
掲示板で過去に質問された内容です。

No.1896 ログに残らないアクセスを受けた?

No.1896 投稿時間:2003年11月07日(Fri) 13:56 投稿者名:alpha URL:
タイトル:ログに残らないアクセスを受けた?

先日はありがとうございました。
ひとまず以下のような設定に落ち着きました。

---
#!/bin/sh

MODPROBE='/sbin/modprobe'
IPTABLES='/sbin/iptables'

$MODPROBE ip_tables
$MODPROBE ip_conntrack
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_conntrack_irc
$MODPROBE ip_nat_ftp
$MODPROBE ip_nat_irc
$MODPROBE ipt_LOG
$MODPROBE ipt_MASQUERADE
$MODPROBE ipt_REDIRECT
$MODPROBE ipt_REJECT
$MODPROBE iptable_nat

$IPTABLES -F
$IPTABLES -t nat -F

$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i eth1 -s 192.168.2.0/24 -j ACCEPT

$IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 80:443 -j LOG --log-prefix 'input-accept_www: '
$IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 25:465 -j LOG --log-prefix 'input-accept_smtp: '
$IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 143:993 -j LOG --log-prefix 'input-accept_imap: '
$IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 22 -j LOG --log-prefix 'input-accept_ssh: '
$IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 443 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 25 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 465 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 143 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 993 -j ACCEPT
#$IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 22 -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset

$IPTABLES -A FORWARD -s 192.168.2.0/24 -j ACCEPT
$IPTABLES -A FORWARD -d 192.168.2.0/24 -j ACCEPT

$IPTABLES -A FORWARD -o eth0 -s 192.168.2.0/24 -p tcp -m multiport --dport 135,137,138,139,445 -j LOG --log-prefix 'forward-drop_netbios: '
$IPTABLES -A FORWARD -o eth0 -s 192.168.2.0/24 -p udp -m multiport --dport 135,137,138,139,445 -j LOG --log-prefix 'forward-drop_netbios: '
$IPTABLES -A FORWARD -o eth0 -s 192.168.2.0/24 -p tcp -m multiport --sport 135,137,138,139,445 -j LOG --log-prefix 'forward-drop_netbios: '
$IPTABLES -A FORWARD -o eth0 -s 192.168.2.0/24 -p udp -m multiport --sport 135,137,138,139,445 -j LOG --log-prefix 'forward-drop_netbios: '
$IPTABLES -A FORWARD -o eth0 -s 192.168.2.0/24 -p tcp -m multiport --dport 135,137,138,139,445 -j DROP
$IPTABLES -A FORWARD -o eth0 -s 192.168.2.0/24 -p udp -m multiport --dport 135,137,138,139,445 -j DROP
$IPTABLES -A FORWARD -o eth0 -s 192.168.2.0/24 -p tcp -m multiport --sport 135,137,138,139,445 -j DROP
$IPTABLES -A FORWARD -o eth0 -s 192.168.2.0/24 -p udp -m multiport --sport 135,137,138,139,445 -j DROP

$IPTABLES -A OUTPUT -o eth0 -s 192.168.2.0/24 -p tcp -m multiport --dport 135,137,138,139,445 -j LOG --log-prefix 'output-drop_netbios: '
$IPTABLES -A OUTPUT -o eth0 -s 192.168.2.0/24 -p udp -m multiport --dport 135,137,138,139,445 -j LOG --log-prefix 'output-drop_netbios: '
$IPTABLES -A OUTPUT -o eth0 -s 192.168.2.0/24 -p tcp -m multiport --sport 135,137,138,139,445 -j LOG --log-prefix 'output-drop_netbios: '
$IPTABLES -A OUTPUT -o eth0 -s 192.168.2.0/24 -p udp -m multiport --sport 135,137,138,139,445 -j LOG --log-prefix 'output-drop_netbios: '
$IPTABLES -A OUTPUT -o eth0 -s 192.168.2.0/24 -p tcp -m multiport --dport 135,137,138,139,445 -j DROP
$IPTABLES -A OUTPUT -o eth0 -s 192.168.2.0/24 -p udp -m multiport --dport 135,137,138,139,445 -j DROP
$IPTABLES -A OUTPUT -o eth0 -s 192.168.2.0/24 -p tcp -m multiport --sport 135,137,138,139,445 -j DROP
$IPTABLES -A OUTPUT -o eth0 -s 192.168.2.0/24 -p udp -m multiport --sport 135,137,138,139,445 -j DROP

$IPTABLES -A PREROUTING -t nat -p tcp -i eth1 --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -A PREROUTING -t nat -p tcp -i eth1 --dport 21 -j REDIRECT --to-port 2121

$IPTABLES -A INPUT -p icmp --icmp-type 0 -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type 8 -j ACCEPT

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -j LOG --log-prefix 'input-policy: '
$IPTABLES -A FORWARD -j LOG --log-prefix 'forward-policy: '

/etc/rc.d/init.d/iptables save

echo 1 > /proc/sys/net/ipv4/ip_forward
---

すると、一日たって/var/log/messagesを見てみると以下のようなログが残っていました。

---
Nov 7 12:35:49 alpha kernel: input-accept_www: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.213.69.123 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=38299 DF PROTO=TCP SPT=57014 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Nov 7 12:35:49 alpha kernel: input-accept_smtp: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.213.69.123 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=38299 DF PROTO=TCP SPT=57014 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Nov 7 12:35:53 alpha kernel: input-accept_www: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.213.69.123 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=48355 DF PROTO=TCP SPT=57015 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Nov 7 12:35:53 alpha kernel: input-accept_smtp: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.213.69.123 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=48355 DF PROTO=TCP SPT=57015 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Nov 7 12:35:54 alpha kernel: input-accept_www: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.213.69.123 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=57027 DF PROTO=TCP SPT=57016 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Nov 7 12:35:54 alpha kernel: input-accept_smtp: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.213.69.123 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=57027 DF PROTO=TCP SPT=57016 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Nov 7 12:48:10 alpha kernel: input-accept_www: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.133.63.113 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=103 ID=14217 DF PROTO=TCP SPT=7756 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
Nov 7 12:48:10 alpha kernel: input-accept_smtp: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.133.63.113 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=103 ID=14217 DF PROTO=TCP SPT=7756 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
---

wwwに入られるのはいいとしてもsmtpはそうは行かないと思い、/var/log/maillogを見てみると・・・、

---
Nov 7 07:10:21 alpha postfix/smtpd[11802]: connect from unknown[61.84.55.39]
Nov 7 07:10:22 alpha postfix/smtpd[11802]: 65FFF2A8AC: client=unknown[61.84.55.39]
Nov 7 07:10:22 alpha postfix/smtpd[11802]: 65FFF2A8AC: reject: RCPT from unknown[61.84.55.39]: 554 <talent311@hanmail.net>: Relay access denied; from=<11111111@11111111.com> to=<talent311@hanmail.net> proto=SMTP helo=<none>
Nov 7 07:10:24 alpha postfix/smtpd[11802]: disconnect from unknown[61.84.55.39]
Nov 7 12:35:19 alpha imapd: Connection, ip=[192.168.2.10]
Nov 7 12:35:20 alpha last message repeated 2 times
---

このように12時ごろに何かされた形跡はありません。(最後の二行は私によるものです)
これはどういうことなのでしょう?smtpにアタックを受けて仮に不当に使われたとしても
alpha postfix/smtp...
のようなログが残るはずですよね?
postfixはsmtp-authに対応させています。今の所はルーターで外からのアクセスは全て止めてありますが・・・。
どうも最近セキュリティに不安を感じてきました・・・。どうかこの謎を解明していただけないでしょうか?
何度もすみませんがよろしくお願いします。

No.1899 投稿時間:2003年11月07日(Fri) 23:49 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:iptableの設定がおかしいです。

こんばんは。

> $IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 80:443 -j LOG --log-prefix 'input-accept_www: '
> $IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 25:465 -j LOG --log-prefix 'input-accept_smtp: '
> $IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 143:993 -j LOG --log-prefix 'input-accept_imap: '

 ここは明らかに違いますね。 「80:443」は、80□443という意味ですよ。「80,443」が正解です。この影響かもしれませんが、

> Nov 7 12:35:49 alpha kernel: input-accept_www: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.213.69.123 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=38299 DF PROTO=TCP SPT=57014 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
> Nov 7 12:35:49 alpha kernel: input-accept_smtp: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.213.69.123 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=38299 DF PROTO=TCP SPT=57014 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
> Nov 7 12:35:53 alpha kernel: input-accept_www: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.213.69.123 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=48355 DF PROTO=TCP SPT=57015 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
> Nov 7 12:35:53 alpha kernel: input-accept_smtp: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.213.69.123 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=48355 DF PROTO=TCP SPT=57015 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
> Nov 7 12:35:54 alpha kernel: input-accept_www: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.213.69.123 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=57027 DF PROTO=TCP SPT=57016 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
> Nov 7 12:35:54 alpha kernel: input-accept_smtp: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.213.69.123 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=57027 DF PROTO=TCP SPT=57016 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
> Nov 7 12:48:10 alpha kernel: input-accept_www: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.133.63.113 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=103 ID=14217 DF PROTO=TCP SPT=7756 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
> Nov 7 12:48:10 alpha kernel: input-accept_smtp: IN=eth0 OUT= MAC=00:50:fc:33:d8:fd:00:30:13:4b:97:12:08:00 SRC=61.133.63.113 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=103 ID=14217 DF PROTO=TCP SPT=7756 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0

 ログの前半は、おやじのWWWサーバテストをしたからだと思いますが、2行目がDPT=80とwebアクセスなのにsmtpになっていますね。おかしいです。後半は誰かアクセスしてきたのでしょう。

> wwwに入られるのはいいとしてもsmtpはそうは行かないと思い、/var/log/maillogを見てみると・・・、
>
> ---
> Nov 7 07:10:21 alpha postfix/smtpd[11802]: connect from unknown[61.84.55.39]
> Nov 7 07:10:22 alpha postfix/smtpd[11802]: 65FFF2A8AC: client=unknown[61.84.55.39]
> Nov 7 07:10:22 alpha postfix/smtpd[11802]: 65FFF2A8AC: reject: RCPT from unknown[61.84.55.39]: 554 <talent311@hanmail.net>: Relay access denied; from=<11111111@11111111.com> to=<talent311@hanmail.net> proto=SMTP helo=<none>
> Nov 7 07:10:24 alpha postfix/smtpd[11802]: disconnect from unknown[61.84.55.39]
> Nov 7 12:35:19 alpha imapd: Connection, ip=[192.168.2.10]
> Nov 7 12:35:20 alpha last message repeated 2 times

> ---
>
> このように12時ごろに何かされた形跡はありません。(最後の二行は私によるものです)
> これはどういうことなのでしょう?smtpにアタックを受けて仮に不当に使われたとしても
> alpha postfix/smtp...
> のようなログが残るはずですよね?

 前半はアタックではありません。普通にsmtpにアクセスしてきて、リレーさせようとして設定が正しくされていたので、リレーせずにrejectされている結果ですので、iptablesのログ的には何も残りません。おやじも時々あります。これは、SMTPを外部に開けてている以上必ずきます。

No.1912 投稿時間:2003年11月10日(Mon) 02:49 投稿者名:alpha URL:
タイトル:Re: iptableの設定がおかしいです。

>  ここは明らかに違いますね。 「80:443」は、80□443という意味ですよ。「80,443」が正解です。この影響かもしれませんが、

おやじさん、いつもありがとうございます。
確かに80:443が問題でした。これのせいでsmtpにアクセスされてもいないのにinput-accept_smtpというログが書かれていました。
私の不注意でどうでもいい質問をしてしまいました・・・。申し訳ありませんでした。


掲示板▲頁先頭