E-server » サービス全般 » 運用

ID #1164

毎日、管理者アカウントに意味不明なメールがきます。

サーバシステムでは、管理用ツールとして毎日自動実行されるジョブが
初期設定されており、実行結果を管理者( root )宛てに送信します。

一通目

> From: root@ns.お客様ドメイン (Cron Daemon)
> Date: Tue, 14 Dec 2004 04:04:24 +0900
> To: root@ns.お客様ドメイン名
> Subject: Cron run-parts /etc/cron.daily

本文先頭行が /etc/cron.daily/00webalizer: となっているメールは、
Cron により毎日実行される cron.daily に登録された Webalizer による
ログ解析プロセスの出力結果となります。


> /etc/cron.daily/00webalizer:
>
> Error: Skipping oversized log record
> Error: Skipping oversized log record
> Error: Skipping oversized log record
> Error: Skipping oversized log record
> Error: Skipping oversized log record
> Error: Skipping oversized log record
> Error: Skipping oversized log record
> Warning: Truncating oversized referrer field [8375]
> Warning: Truncating oversized referrer field [11595]
> Error: Skipping oversized log record
> Error: Skipping oversized log record
> Warning: Truncating oversized referrer field [20348]

上記、Skipping oversized log record や、oversized referrer field は、
アクセスログ情報レコードが下記のようなレコードとなっている場合に
発生いたします。

210.143.96.70 - - [14/Dec/2004:10:44:59 +0900] "SEARCH /\\x90\\x02\\xb1\\x02\\xb1\\x
02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x
02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x
02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x
02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x
--- ( 省略 ) ---

このようなアクセスログは、Windows 系OS の WebDAV の脆弱性を付いた
ワームによるアクセスとなります。

お客様サーバは Linux OS のため、影響はございませんが、ログデータが
異常に長いためアクセス解析がエラーを表示し、ログを無視した事を通知
しております。


2通目

> From: root
> Date: Tue, 14 Dec 2004 04:02:39 +0900
> To: root@ns.お客様ドメイン名
> Subject: LogWatch for ns.shimizuya.co.jp

件名 LogWatch は、日々のログを監視して管理者宛てに自動的に送信される
レポートとなります。
自動送信しておりますのが、LogWatch と言われるログ監視ツールでして
Fedora Core 2 に標準装備されております。

実際に、日々の全てのログファイルを全部読むのは大変な作業ですので、
ログ出力を見やすくし、異常時にすぐに対応できるようにするための
ツールとして収録されています


>  ################### LogWatch 5.1 (02/03/04) ####################
>        Processing Initiated: Tue Dec 14 04:02:32 2004
>        Date Range Processed: yesterday
>      Detail Level of Output: 0
>           Logfiles for Host: ns.お客様ドメイン名
>  ################################################################
>
>  --------------------- httpd Begin ------------------------
>
> A total of 3 unidentified 'other' records logged
>   SEARCH
> /\\x90\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb
> 1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x0
> 2\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb1\\x02\\xb

(省略)

>   GET /images/What HTTP/1.0 with response code(s) 404
>   GET /test/1 HTTP/1.1 with response code(s) 404 404
>
>  ---------------------- httpd End -------------------------

上記、httpd Begin ~ httpd End までは、httpd セクションとなり、
Apache Webサーバによるアクセスログ情報より、不正なアクセスログの
情報のみピックアップしております。

前述の Webalizer アクセス解析でも不正とされた Windows 系OS の
WebDAV の脆弱性を付いたワームによるアクセスが抜粋されております。


>  --------------------- pam_unix Begin ------------------------
>
> dovecot:
>    Unknown Entries:
>       authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
> user=mizuno-katumi: 25 Time(s)
>       authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= : 7
> Time(s)
>       check pass; user unknown: 7 Time(s)
>
> su:
>    Sessions Opened:
>       (uid=0) -> cyrus: 1 Time(s)
>       (uid=0) -> news: 1 Time(s)
>
>
>  ---------------------- pam_unix End -------------------------

pam_unix セクションでは、認証に関連する 1日分のログ情報のサマリーを
記録しております。

各アカウント名、パスワードによる認証と結果を確認可能です。


>  --------------------- Connections (secure-log) Begin
> ------------------------
>
>
> Connections:
>    Service ftp:
>       210.143.106.4: 2 Time(s)
>       210.143.96.70: 1 Time(s)
>
> **Unmatched Entries**
> dovecot-auth: pam_succeed_if: requirement "uid < 100" not met by user
> "test"
> dovecot-auth: pam_succeed_if: requirement "uid < 100" not met by user
> "test3"

(省略)
>  ---------------------- Connections (secure-log) End
> -------------------------

Connections セクションでは、外部からサーバへの接続に関するログ情報を
表示します。

接続したプロトコル(ftp等)と、接続元IPアドレス情報等の 1日分の情報が
こちらで確認可能となります。

**Unmatched Entries** では、LogWatch により用意されたエラー情報の
パターンにマッチしなかった情報が出力されます。

メール受信用サーバ dovecot では、認証毎に requirement "uid < 100" の
ログ情報が記録される現象があり、**Unmatched Entries** へと分類されて
おりますが、特に問題が発生している訳ではございません。


>  --------------------- sendmail Begin ------------------------
>
>
>
> Bytes Transferred: 96428995
> Messages Sent:     187
> Total recipients:  208
>
> Unknown local users:
>
>   Total: 91

sendmail セクションは複数のブロックに分かれており、上記は記録された
 1日分のサマリー情報となります。

上記の例では、メール配送による転送量が 96428995 byte あり、送られたメールが 187 通、受信したメールが 208 通となっております。

また、ローカルユーザーへの Unknown users が 91 件発生しております。


> Top relays (recipients/connections - min 10 rcpts, max 50 lines):
>     35/35: ghost.prox.ne.jp [210.143.96.70]
>     34/25: www.ixent.ne.jp [210.143.106.5]

上記の例では、メールをリレー(送信)した元クライアントのIPアドレスを、受信者数/接続数の表示で多い順に一部抜粋してます。


> Relaying denied:
>     From ns.prox.ne.jp [210.143.96.65] to sunhaorong@nbip.net.cn: 2
> Time(s)
>     From [211.158.33.193] to doreen@cta.cq.cn: 1 Time(s)
>     From [221.140.55.94] to smtphunter77@daum.net: 1 Time(s)
>     From [61.80.47.78] to talent311@daum.net: 1 Time(s)
>     From p3009-ipad03sasajima.aichi.ocn.ne.jp [61.199.117.9] to
> sunhaorong@nbip.net.cn: 1 Time(s)
>
>  Total:  5

Relaying denied: はリレー(送信)を拒否したログの抜粋となり、5件発生して
おります。

E-server サービスでは、POP before SMTP のチェックが初期設定で行われて
おり、受信認証に成功していない不正リレーは拒否されます。


> Client quit before communicating:
>     210.143.96.66: 2 Time(s)
>     210.143.96.70 : 3 Time(s)

Client quit before communicating: は、コネクションを接続するも何もなく
そのまま切断した時の、接続元IPアドレスの情報となります。


> Authentication warnings:
>     [210.143.96.70] didn't use HELO protocol: 1 Time(s)

Authentication warnings: は、認証警告情報となります。
上記の例では、IPアドレスが 210.143.96.70 からの接続時に HELO コマンドが無かった事を示しております。


> Unknown hosts:
>     prox.cp.jp: 1 Time(s)
>     prox.so.jp: 1 Time(s)
>
>  Total:  2

Unknown hosts: は、ホスト名不明による配送エラーの発生となります。
上記の例では 2件発生しており、ドメイン名間違いのようです。


> **Unmatched Entries**
>    Fixed MIME Content-type header field (possible attack): 1 Time(s)

**Unmatched Entries** では、LogWatch により用意されたエラー情報の
パターンにマッチしなかった情報が出力されます。

> Summary:
>  Total Mail Rejected: 103
>
>  ---------------------- sendmail End -------------------------

最後はサマリー情報となり、上記例では、メールを拒否した件数が 103 件となります。


>  --------------------- SSHD Begin ------------------------
>
>
> Illegal users from these:
>    andrew/none from ::ffff:210.143.96.70 1 Time(s)
>    angel/none from ::ffff:210.143.96.65 1 Time(s)
>    ben/none from ::ffff:210.143.96.65 1 Time(s)
>    betty/none from ::ffff:210.143.96.65: 1 Time(s)
>
(省略)
>
>  ---------------------- SSHD End -------------------------

SSHD セクションは、sshd によるログ情報からの抜粋となります。

sshd へのログインを試行した不正ユーザー情報が記録されております。

これらは、ありがちなアカウント名とパスワードを使用してログイン
可能なサーバを探しているスクリプトの仕業となります。

E-server では、sshd へのログインに RSA認証モードを初期設定して
おりますので、SSH秘密鍵のないユーザーはログイン不可能となって
おり、特に気にする必要はないかと思われます。


> ------------------ Disk Space --------------------
>
> Filesystem            Size  Used Avail Use% Mounted on
> /dev/hda2              36G  9.0G   25G  27% /
> /dev/hda1              99M   12M   82M  13% /boot
> none                  125M     0  125M   0% /dev/shm
>
>
>  ###################### LogWatch End #########################
>
> -------------------------------------------------------------

Disk Space セクションは、ディスク使用量の情報となります。
上記の例では利用料は 27% ( 余り 73% ) となっている事がわかります。

最終更新: 2004-12-14 14:46
作成者: IXENT テクニカルサポート
改定: 1.0

このレコードを印刷する このレコードを印刷する
PDF ファイルで表示する PDF ファイルで表示する

このエントリを評価してください:

評価点数: 2.21 - 5 (99 個の投票 )

まったく役に立たない 1 2 3 4 5 とても役に立った

このエントリにコメントできません。