オマエら早スギです(^^;

昨日、とある事情で会社のネットワークのインターネット側へ、ちょっと古いバージョンのOSをインストールしたPCを接続した。
セキュリティ的にアヤしそうなので、FireWallで閉めまくって晒してたから、全く実害は無かったんだけど、アタックが物凄い(^^;
設置12時間以内に5つのIPアドレスから計100件以上のRootKit系のアクセスが・・・

これまで2～3年ぐらい使ってなかったIPアドレスだし、当然他のWebとかからのリンクも無いので、このIPアドレスにサーバが存在する事を知る手段はIPアドレスの総当りしか無いハズなんだけど、最短は設置から8時間ぐらいでやって来ていた。
Windowsをインストールして、WindowsUpdateをしようとネットに繋いだら、Updateする間にワームに感染したとかいう話もあるようだけど、Linuxも他人事じゃないなと思った(^^;

ちなみにやって来た相手の内訳は
韓国1件
中国1件
台湾2件
インド1件
でした。

コメント

えー、こわいっ。
今までにそうゆうのに遭遇したことない(あるいは気付いてない)ですが、明日は我が身ですね。

投稿: akky. | 2005.06.10 21:35

＞akky. さん
日頃から常時稼動してるサーバとかには、この程度はコンスタントに（謎）来てるんですが、つないでイキナリというのが結構早いなぁという感じがしましたね。
Windows系へのアタックはこれ以上に多いようですが、U*ix系へのアタックも決して少なくはないんだな、という感じで。

投稿: ＜セルダン＞ | 2005.06.11 00:32

いずれ勉強のために静穏サーバを立てて
公開したいと思ってるんですが、やっぱり怖い…。

直でなく、ルータ通してフィルタすれば多少は
安全なんでしたっけ。

投稿: yoh-yoh | 2005.06.11 13:56

＞yoh-yohさん
ルータというかNATしてやれば直接入ってくる経路が（ルータの設定をしなければ）無いので、直接つなぐよりは安全性がかなり上がりますね。
でも何らかのサービスを（ルータの設定をして）公開しちゃうと同じ事ですが(^^;

投稿: ＜セルダン＞ | 2005.06.11 18:36

昔うちもRedHatで自家サーバだったんですけど、FIREWall をルータとサーバと両方に立てていてもアタックがすごくて負荷がかかるのでやめましたよー。
こっちが回避しようと懸命になってるのに、会社の人たちったら私のせいにするからムカつくんだもん。
メーラーひとつ設定できないのによく言えるな！　って感じ。
今使ってるホスティングの人は結構泣いてるみたいです。事情説明メールがまめにくるんですが、文が泣いているんですよ。なんか気の毒ですよ。

投稿: たえたえ | 2005.06.12 09:50

＞何らかのサービス
立てなきゃ安全でしょうけど、立てないとそもそも
公開する意味がないですからね…。　（＾＾；

自分でやるならHTTP（＆8080）とFTP、あとはまあ
メール系だと思いますが、よく使われるものだからこそ
ヤバいわけで…。覚悟を決めてやらないとまずそう。

投稿: yoh-yoh | 2005.06.12 13:25

＞たえたえさん
最近は安価なルータでもFireWall機能とかありますが、安価なルータはCPUがショボいので、ちょっと複雑なルールを組んだらガックリとスループットが落ちる事が多いですね。
って言うか、ちょっと前までは64KBpsとか数MBpsとかだったのでそれなりに何とかなってましたが、最近では最低でも数十Mbpsとか、光が入れば100MBpsなので、ハンパなCPUではルーティングだけでも苦しかったり・・・

＞yoh-yohさん
＞立てなきゃ安全でしょうけど、立てないとそもそも
＞公開する意味がないですからね…。　（＾＾；
ま、そりゃそうですが(^^;
ただ、NATを通していれば、明示的に開いたポート以外への外からのアクセスを気にしなくても良いので、アレもコレもと内部だけで使うサービスを入れるのが気楽というのはあります。

投稿: ＜セルダン＞ | 2005.06.12 23:57