CentOS7.9(x86_x64)の/var/log/messageにsmbアタック (Denied connection from)が止まらない？

Hal.と申します。

CentOS7.9にて公開サーバを運用中ですが、本日ルータ(NTT PR-S300HI)を視認すると、ACTランプUNIランプが強烈に点滅しっぱなしの状況で、止まりません。
/var/log/messages
を確認すると、下記のようなログが、とてつもない量で記録され続けています。

Jan 30 20:09:01 example smbd[8612]: [2021/01/30 20:09:01.293923,  0] ../../lib/util/access.c:365(allow_access)
Jan 30 20:09:01 example smbd[8612]:  Denied connection from 112.135.201.145 (112.135.201.145)
Jan 30 20:09:01 example smbd[8616]: [2021/01/30 20:09:01.881299,  0] ../../lib/util/access.c:365(allow_access)
Jan 30 20:09:01 example smbd[8616]:  Denied connection from 112.135.201.145 (112.135.201.145)
Jan 30 20:09:01 example smbd[8618]: [2021/01/30 20:09:01.935467,  0] ../../lib/util/access.c:365(allow_access)
Jan 30 20:09:01 example smbd[8618]:  Denied connection from 112.135.201.145 (112.135.201.145)
Jan 30 20:09:02 example smbd[8622]: [2021/01/30 20:09:02.472110,  0] ../../lib/util/access.c:365(allow_access)
Jan 30 20:09:02 example smbd[8622]:  Denied connection from 112.135.201.145 (112.135.201.145)
Jan 30 20:09:02 example smbd[8624]: [2021/01/30 20:09:02.569224,  0] ../../lib/util/access.c:365(allow_access)
Jan 30 20:09:02 example smbd[8624]:  Denied connection from 112.135.201.145 (112.135.201.145)
Jan 30 20:09:03 example smbd[8625]: [2021/01/30 20:09:03.065428,  0] ../../lib/util/access.c:365(allow_access)
Jan 30 20:09:03 example smbd[8625]:  Denied connection from 112.135.201.145 (112.135.201.145)
Jan 30 20:09:03 example smbd[8627]: [2021/01/30 20:09:03.738932,  0] ../../lib/util/access.c:365(allow_access)
Jan 30 20:09:03 example smbd[8627]:  Denied connection from 112.135.201.145 (112.135.201.145)
Jan 30 20:09:04 example smbd[8631]: [2021/01/30 20:09:04.307177,  0] ../../lib/util/access.c:365(allow_access)
Jan 30 20:09:04 example smbd[8631]:  Denied connection from 112.135.201.145 (112.135.201.145)
Jan 30 20:09:04 example smbd[8633]: [2021/01/30 20:09:04.912857,  0] ../../lib/util/access.c:365(allow_access)
Jan 30 20:09:04 example smbd[8633]:  Denied connection from 112.135.201.145 (112.135.201.145)
Jan 30 20:09:05 example smbd[8637]: [2021/01/30 20:09:05.478391,  0] ../../lib/util/access.c:365(allow_access)
Jan 30 20:09:05 example smbd[8637]:  Denied connection from 112.135.201.145 (112.135.201.145)
Jan 30 20:09:06 example smbd[8641]: [2021/01/30 20:09:06.049048,  0] ../../lib/util/access.c:365(allow_access)
Jan 30 20:09:06 example smbd[8641]:  Denied connection from 112.135.201.145 (112.135.201.145)
Jan 30 20:09:06 example smbd[8642]: [2021/01/30 20:09:06.141621,  0] ../../lib/util/access.c:365(allow_access)
Jan 30 20:09:06 example smbd[8642]:  Denied connection from 112.135.201.145 (112.135.201.145)

これはsambaに対するアタックなのでしょうか？

ちなみにsambaは192.168.のローカルネットワークの1ユーザにしか解放しておらず、
/etc/samba/smb.conf
は下記の通りです。

# Samba config file created using SWAT
# 2020/12/25 for Cent7

[global]
#	workgroup = SAMBA
	workgroup = WORKGROUP

	server string = Samba Server Version %v
	hosts allow = 127.0. 192.168.0.
	hosts deny = 112.135.

	log level = 1
	log file = /var/log/samba/log.%m
	max log size = 1024

	security = user

	dos charset = CP932
	unix charset = UTF-8

	passdb backend = tdbsam

	printing = cups
	printcap name = cups
	load printers = no

	cups options = raw

#	name resolve order = wins
	admin users = sysmashoge, root, @wheel
	write list = sysmashoge,root,@wheel,@root
	store dos attributes = Yes
	force group = wheel
	netbios name = EXAMPLE_2021
	map archive = no
	writeable = yes
	delete readonly = yes
	default = root
	disable spoolss = yes
	load printers = no
#	smb passwd file = /etc/samba/smbpasswd
#	guest account = root
#	smb ports = 139
#	username map = /etc/samba/user.map
	domain master = Yes
	hide dot files = no
	public = yes
	keepalive = 60
	ea support = Yes
#	case sensitive = yes
#	wins support = true
#	dos filetime resolution = Yes
	netbios aliases = EXAMPLE_2021
	server string = mail.EXAMPLE.com
	path = /
#	logon path = \%L\profiles\%U
	force user = root
	comment = EXAMPLE_2021_Root
	valid users = sysmashoge,root
#
	wide links = yes
	unix extensions = no

[homes] 
	comment = Home Directories
	valid users = %S, %D%w%S
	browseable = No
	read only = No
	inherit acls = Yes

[printers]
	comment = All Printers
	path = /var/tmp
	printable = Yes
	create mask = 0600
	browseable = No

[print$]
	comment = Printer Drivers
	path = /var/lib/samba/drivers
	write list = @printadmin root
	force group = @printadmin
	create mask = 0664
	directory mask = 0775

[root]
	comment = for sysmashoge only
	valid users = root, sysmashoge, @wheel
	hosts allow = 192.168.0.

[sysmashoge]
	comment = for sysmashoge only
	valid users = root, sysmashoge, @wheel
	hosts allow = 192.168.0.

/var/のHDD容量は十二分に確保してあるので、仮に、数十GB程度のログとなったとしても、DiskFullになるような状況では無いのですが、インターネット回線帯域をアタックで占有されてしまっているような状況で、ローカルネット内からのインターネットへのアクセス速度が遅く感じます。

本件、何らかの対処法があれば、ご教示戴きたくお願いいたします。
－－－
2021/01/31/ AM0:12追記。

tanatさま、早速のコメントありがとうございました＿（＿＿）＿

＞ルータの機能で止める(と言うよりは、公開に必要なポートのみ開ける)のがベストです。

はい、ルータでも止めている「つもり」ではいるのですが、ここがNGポイントなのでしょうか？

下記が現状ルータ側のiPV4セキュリティ設定です。

ルールNo.25,34は暫定的に今現時点で酷いアタックのIPに関して追記した物です。

－－－
2021/01/31/ AM11:05追記。
tanatさま、再度のコメントありがとうございました＿（＿＿）＿

AM0:12追記後、一旦/var/log/配下の不要ログをクリーニングし、リブートさせておきました。
で今ほど確認するとsambaに対するアタックログは収束したようなのですが、今度はdns(bind-chroot)
にアタックをかけてきている模様で・・・

/var/log/messages
を確認すると、本日1/31は下記のようなログが、とてつもない量で記録され続けています。

Jan 31 10:50:20 example named[1619]: client @0x7fa608106000 71.8.61.80#3673 (.): view globalnet: query (cache) './ANY/IN' denied
Jan 31 10:50:26 example named[1619]: client @0x7fa608106000 71.8.61.80#4639 (.): view globalnet: query (cache) './ANY/IN' denied
Jan 31 10:50:26 example named[1619]: client @0x7fa6080e93a0 71.8.61.80#4639 (.): view globalnet: query (cache) './ANY/IN' denied
Jan 31 10:50:26 example named[1619]: client @0x7fa608106000 71.8.61.80#4639 (.): view globalnet: query (cache) './ANY/IN' denied
Jan 31 10:50:26 example named[1619]: client @0x7fa6080f79d0 71.8.61.80#4639 (.): view globalnet: query (cache) './ANY/IN' denied
Jan 31 10:50:26 example named[1619]: client @0x7fa6080e93a0 71.8.61.80#4639 (.): view globalnet: query (cache) './ANY/IN' denied
Jan 31 10:50:28 example named[1619]: client @0x7fa608106000 80.93.127.188#1360 (.): view globalnet: query (cache) './ANY/IN' denied
Jan 31 10:50:28 example named[1619]: client @0x7fa6080f79d0 80.93.127.188#1360 (.): view globalnet: query (cache) './ANY/IN' denied
Jan 31 10:50:28 example named[1619]: client @0x7fa608106000 80.93.127.188#1360 (.): view globalnet: query (cache) './ANY/IN' denied
Jan 31 10:50:28 example named[1619]: client @0x7fa6080e93a0 80.93.127.188#1360 (.): view globalnet: query (cache) './ANY/IN' denied
Jan 31 10:50:28 example named[1619]: client @0x7fa6080f79d0 80.93.127.188#1360 (.): view globalnet: query (cache) './ANY/IN' denied

このようなアタックはどうしようも無いものなのでしょうか？
以前に現在固定IP1で接続している某プロバイダ側に尋ねたところ「通信の秘密」を理由に、全世界どこからのパケットでも（例えアタックでも）フィルタリングせず、そのままフォワードしているとのことで、プロバイダ側での対策は出来ないとの事でした。

行動規範の内容に同意します

回答1件

ベストアンサー

sambaまでアクセスが届いてるのでアクセスログが出ちゃってる訳なので、それより上流で止めてしまえばいいです。

ちなみにsambaは192.168.のローカルネットワークの1ユーザにしか解放しておらず、

と言うことであれば、ルータの機能で止める(と言うよりは、公開に必要なポートのみ開ける)のがベストです。
ご使用中のルータでどこまで出来るかは知りませんが、設定で可能かどうか確認してみて下さい。

どうしても現在のルータでポート制限が出来なければ、
間にもう一つルータを入れてそこで制限するか、OSのファイアウォール(CentOS7だとfirewalldがデフォルト)でポートを制限しましょう

投稿2021/01/30 11:51

tanat

総合スコア18713

Hal.

2021/01/30 15:19

tanatさま、早速のコメントありがとうございました。コメントでは画像挿入等できないので、本文変更にて追記させて戴きました。ご確認戴ければ幸いです。

tanat

2021/01/30 15:56 編集

うーん、ぱっと見は正しそうです（精査はしてないですが）ただ、ftpやtelnet,SMTP等のAnyからのアクセスを許可すると割と危険なポートが開いているあたり、最低限の開放とはなっていないんじゃないかなという印象があります。 1．一旦、現在の設定はどこかに確保しておく 2. 一旦全拒否にする 3．別回線（出来ればIP固定できるものと、出来ないものの2回戦）を使ってインターネットからアクセスして、拒否されていることを確認する←重要 4. anyからアクセスするポートを一つ開けて、アクセス出来ることを確認するという感じで、一つずつ確認していくのが確実かと思いますよ。

Hal.

2021/01/31 02:09

tanatさま、再度のコメントありがとうございました。コメントでは画像挿入等できないので、本文変更にて追記させて戴きました。ご確認戴ければ幸いです。

tanat

2021/01/31 02:55

> このようなアタックはどうしようも無いものなのでしょうか？インターネット上に公開されている以上はアクセスがあること自体は防げませんね適切な機材(HW/SW）と設定でブロックし続けるしかないです。 (クラウドサービスなどだとこの辺はまだ対応しやすいです)

Hal.

2021/02/03 08:05

＞インターネット上に公開されている以上はアクセスがあること自体は防げませんね＞適切な機材(HW/SW）と設定でブロックし続けるしかないです。やはりそういう事なんですね。了解いたしました、コメントありがとうございました＿（＾＿＾）＿

行動規範の内容に同意します