teratail
回答率
85.47%
質問するログイン新規登録
トップに関する質問CentOS7.9(x86_x64)の/var/log/messageにsmbアタック (Denied connection from)が止まらない?

編集履歴

質問編集履歴

2

アタックログの再確認、及びコメントに対する追記。

2021/01/31 02:09

投稿

Hal.
Hal.

スコア4

test CHANGED
File without changes
test CHANGED
@@ -301,3 +301,57 @@
301
301
 
302
302
 
303
303
  ルールNo.25,34は暫定的に今現時点で酷いアタックのIPに関して追記した物です。
304
+
305
+
306
+
307
+ ---
308
+
309
+ 2021/01/31/ AM11:05追記。
310
+
311
+ tanatさま、再度のコメントありがとうございました_(__)_
312
+
313
+
314
+
315
+ AM0:12追記後、一旦/var/log/配下の不要ログをクリーニングし、リブートさせておきました。
316
+
317
+ で今ほど確認するとsambaに対するアタックログは収束したようなのですが、今度はdns(bind-chroot)
318
+
319
+ にアタックをかけてきている模様で・・・
320
+
321
+
322
+
323
+ /var/log/messages
324
+
325
+ を確認すると、本日1/31は下記のようなログが、とてつもない量で記録され続けています。
326
+
327
+ ```
328
+
329
+ Jan 31 10:50:20 example named[1619]: client @0x7fa608106000 71.8.61.80#3673 (.): view globalnet: query (cache) './ANY/IN' denied
330
+
331
+ Jan 31 10:50:26 example named[1619]: client @0x7fa608106000 71.8.61.80#4639 (.): view globalnet: query (cache) './ANY/IN' denied
332
+
333
+ Jan 31 10:50:26 example named[1619]: client @0x7fa6080e93a0 71.8.61.80#4639 (.): view globalnet: query (cache) './ANY/IN' denied
334
+
335
+ Jan 31 10:50:26 example named[1619]: client @0x7fa608106000 71.8.61.80#4639 (.): view globalnet: query (cache) './ANY/IN' denied
336
+
337
+ Jan 31 10:50:26 example named[1619]: client @0x7fa6080f79d0 71.8.61.80#4639 (.): view globalnet: query (cache) './ANY/IN' denied
338
+
339
+ Jan 31 10:50:26 example named[1619]: client @0x7fa6080e93a0 71.8.61.80#4639 (.): view globalnet: query (cache) './ANY/IN' denied
340
+
341
+ Jan 31 10:50:28 example named[1619]: client @0x7fa608106000 80.93.127.188#1360 (.): view globalnet: query (cache) './ANY/IN' denied
342
+
343
+ Jan 31 10:50:28 example named[1619]: client @0x7fa6080f79d0 80.93.127.188#1360 (.): view globalnet: query (cache) './ANY/IN' denied
344
+
345
+ Jan 31 10:50:28 example named[1619]: client @0x7fa608106000 80.93.127.188#1360 (.): view globalnet: query (cache) './ANY/IN' denied
346
+
347
+ Jan 31 10:50:28 example named[1619]: client @0x7fa6080e93a0 80.93.127.188#1360 (.): view globalnet: query (cache) './ANY/IN' denied
348
+
349
+ Jan 31 10:50:28 example named[1619]: client @0x7fa6080f79d0 80.93.127.188#1360 (.): view globalnet: query (cache) './ANY/IN' denied
350
+
351
+ ```
352
+
353
+
354
+
355
+ このようなアタックはどうしようも無いものなのでしょうか?
356
+
357
+ 以前に現在固定IP1で接続している某プロバイダ側に尋ねたところ「通信の秘密」を理由に、全世界どこからのパケットでも(例えアタックでも)フィルタリングせず、そのままフォワードしているとのことで、プロバイダ側での対策は出来ないとの事でした。

1

tanatさんの指摘に関して、現状のルータセッティング等の詳細を追記しました。

2021/01/31 02:09

投稿

Hal.
Hal.

スコア4

test CHANGED
File without changes
test CHANGED
@@ -273,3 +273,31 @@
273
273
 
274
274
 
275
275
  本件、何らかの対処法があれば、ご教示戴きたくお願いいたします。
276
+
277
+ ---
278
+
279
+ 2021/01/31/ AM0:12追記。
280
+
281
+
282
+
283
+ tanatさま、早速のコメントありがとうございました_(__)_
284
+
285
+
286
+
287
+ >ルータの機能で止める(と言うよりは、公開に必要なポートのみ開ける)のがベストです。
288
+
289
+
290
+
291
+ はい、ルータでも止めている「つもり」ではいるのですが、ここがNGポイントなのでしょうか?
292
+
293
+
294
+
295
+ 下記が現状ルータ側のiPV4セキュリティ設定です。
296
+
297
+
298
+
299
+ ![![イメージ説明](48f85e68fc51f0cd12e8085fb99c037f.jpeg)](3734397487ce2d08c45c43c9e21d330f.jpeg)
300
+
301
+
302
+
303
+ ルールNo.25,34は暫定的に今現時点で酷いアタックのIPに関して追記した物です。