前の画面〕 〔クリックポイント〕 〔最新の一覧〕 〔全て読んだことにする〕〔全て読んだことにして終了〕 〔終了

300 Cracker(くらっかー)による攻撃 その1
2012/2/2(木)11:13 - 万屋 - 2580 hit(s)


= 趣旨 =

 実は、新しく楽天Broadbandを利用してから、
Web Server への攻撃が、極端に増えた。

 契約的に2年間の縛りがあるらしいので、
やもえず契約を維持するが、So-netと契約を
行っておけば良かったと、後悔している。


 初期の一ヶ月は、最悪で、数分後にDownを
させられてしまう!

 色々と防御対策を整えつつ、10月頃には、
一時的に無くなった。

 しかし不動産会社、国、東京都、八王子市、
立川市との訴訟が始まってから、一気に増え
新たな防御対策を検討ながら、敵方の行動を
観察していた。

(私のWebServerは、HoneyPot化している)



===== 敵方からの攻撃方法 =====

 Server(PC)に、外部からScript Fileを
送入して、それを稼動させNetworkのDownを
試みるらしい。


 そのScript名は、『 maxlifetime 』との
名称で、外部から当方のServerに送り込まれ、
それを走らせる。

 どうやら「WebServerを落とせば私が対処に
おわれ、他の事が行えないだろう・・・」と
言う趣旨にて名付けたCrack(破壊)工作の
File名らしい。


===== 使用をされるPort =====

 そ知らぬふりをして、色々と背後で調べて
いたのですが、大手企業からのServerを装い
(Bindを行って)、Ftpなどで攻撃を仕掛けて
いるらしい。

 Port番号では、21、123、443を使用しての
Accessが確認をされている。


--- 各Portの一般利用に付いて

 『 21 』がFtp(File転送)、『 443 』が
httpsでのAccess(認証などSecurity関係での
Http形式)で用いられる。
 
 ちなみにPortの『 123 』は、時間調整で
用いられる。

---

 しかし当方のModem(もでむ)では、21 が
外部と通信が行えないよう設定をされており、
『本攻撃に対する偽装』と判断して、433、
123 の類が疑われた。

 433では、WebminへのAccessが疑われるが
設定的に、やはり外部からのAccessが行え
ないように成っている。

 そこで、123 Portを監視することにした。


== 防御の対策 ==

(1)第一段階

 単純にUWFを使いPort 80(Http)以外を
塞いでおいた。


(2)第二段階

 次いでModem側もServer側へのAccessを
規制して、Modem(ADSL)側からPort 80
以外を受け付けない設定を行った。


(3)第三段階

 更に、Server側から外の他Portへと、
Accessする傾向が有ったので、それらも
80番以外を閉鎖した。

★
 ntp(123)は、時間合わせの為に自らが
(PCが自動で)外部へ繋ぎに行く。



(補足)
 LAN内の設定に付いては、故意に規制を
緩めて、監視中である。


==== 結語 ====

 敵方は、「(1)Fileを送って、(2)
稼動させる」との二種をCrack工作の過程
としている。

 又、当方で確認をしている敵方の偽装
(Bind)は、裁判所、Google、Ntt、海外
の通信網など、特定の通信業者が含まれて
ないのも特徴である。

 つまり逆に、特定の通信業者を避けて
(または、敵が使えない状態で、偽装を
行える業者を)悪用しているようである。


 実は、その背景も解かっており、他の
一般人が関与をすることも無いのかとも
想われるので記載をしないが、一般的な
防御方法となる程度だけを記載しておく。


 後における敵本陣の壊滅対処は、私の
特殊工作で♪


〔ツリー構成〕

【268】 第十ニ期 LANの再構築 2011/11/21(月)01:31 万屋 (1309)
┣【269】 色々な問題 2011/11/21(月)01:33 万屋 (92)
┣【272】 Routerの使用に付いて 2011/11/27(日)05:23 万屋 (2250)
┣【281】 LAN の USB Socket が Down する! 2011/12/2(金)13:20 万屋 (1109)
┣【287】 OS(Ubuntu Server)の Install における問題 2011/12/31(土)10:43 万屋 (159)
┣【288】 『 apt-get 』が使えない! 2011/12/31(土)10:45 万屋 (1029)
┣【289】 『 Ftpd 』DのInstallが行えない!? 2011/12/31(土)10:50 万屋 (536)
┣【290】 Mini.iso ( Network Install で使われる iso) でわなく・・・ 2011/12/31(土)11:10 万屋 (1030)
┣【291】 総合的な結論 2011/12/31(土)11:12 万屋 (1777)
┣【293】 Network Cracker の 対策 2012/1/12(木)01:25 万屋 (1205)
┣【294】 Port や IP に 付いて・・・ 2012/1/12(木)01:39 万屋 (821)
┣【295】 Web Server(Apache)の各種Logに付いて 2012/1/13(金)11:03 万屋 (734)
┣【300】 Cracker(くらっかー)による攻撃 その1 2012/2/2(木)11:13 万屋 (2666)
┣【301】 re:Cracker(くらっかー)による攻撃 その2 2012/2/2(木)11:26 万屋 (816)
┣【302】 maxlifetime に 付いて 2012/2/3(金)09:13 万屋 (68)
┣【273】 副課題 2011/11/27(日)05:30 万屋 (246)
┣【274】 FireWallの構築 > ufw の利用 2011/11/27(日)15:47 万屋 (1260)
┣【280】 Portに付いて 2011/12/1(木)11:59 万屋 (860)
┣【296】 Port 443 への Access ? 2012/1/15(日)13:53 万屋 (466)
┣【306】 iptables の利用 2012/3/9(金)05:15 万屋 (145)
┣【307】 設定に付いて 2012/3/9(金)05:24 万屋 (679)
┣【308】 Webmin での設定項目 2012/3/9(金)05:32 万屋 (165)
┣【275】 MirrorServerの設置 2011/11/28(月)13:27 万屋 (2332)
┣【276】 ProxyServerの設置を検討 > Squide 2011/11/28(月)22:14 万屋 (400)
┣【277】 ReverseProxyの設定を検討 2011/11/29(火)00:29 万屋 (642)
┣【292】 古い kernel (かーねる)の削除 2011/12/31(土)11:36 万屋 (1113)
┣【297】 System上の整備 2012/2/2(木)09:38 万屋 (69)
┣【298】 不要に成ったPackage(ぱっけーじ)を削除 2012/2/2(木)09:58 万屋 (984)
┣【299】 補足 2012/2/2(木)10:03 万屋 (277)
┣【303】 おまけ 2012/2/23(木)19:53 万屋 (73)
┣【304】 Dual Boot の画面における、優先起動の設定変更 2012/2/23(木)20:12 万屋 (814)
┣【305】 訂正 2012/2/25(土)01:03 万屋 (383)
┣【309】 臨時 Versionup 2012/3/23(金)18:01 万屋 (84)
┣【310】 OS の 切り替え (長期支援型 →短期支援型) 2012/3/23(金)18:22 万屋 (972)
┣【312】 Webserver も、自動的に Versionup 2012/3/23(金)20:08 万屋 (262)
┣【315】 更なる、VersionUP ( 11.10 → 12.04 Beta1 ) 2012/4/30(月)13:21 万屋 (94)
┣【316】 今期最終の、VersionUP ( 12.04 Beta1 → 12.04 LST ) 2012/4/30(月)13:25 万屋 (155)

前の画面〕 〔クリックポイント〕 〔最新の一覧〕 〔全て読んだことにする〕〔全て読んだことにして終了〕 〔終了

※ 『クリックポイント』とは一覧上から読み始めた地点を指し、ツリー上の記事を巡回しても、その位置に戻ることができます.