Skip to content →

サーバー攻撃を受けたので、Logwatchで監視をはじめてみた

先日の大量アクセスがあってから、攻撃をしてきたIPはブロックはできた。しかしまた別のところからの攻撃で再発する可能性が高いので、サーバーの監視ができるツールを探してみたら、Logwatchという便利なものを見つけることができた。

Logwatch

Logwatchは/var/log以下のログファイルを見やすいレポートにまとめて、毎日メールで報告してくれるサーバー監視ツール。毎日、最低限これをみておけば不正な攻撃を知ることができ、対策を打てる。1日中監視しているわけにもいきませんしね。

yumが入っていれば一発インストール。

yum install logwatch

設定ファイルは、デフォルトは/usr/share/logwatch/default.conf/logwatch.confにあって、MailTo = xxxx@ne.jpというようにアドレスを入れておけば毎日メールを送ってくれる。この設定関連はいろいろといじれるようだけど、さわったのは送り先のメールアドレスを設定のみ。

logwatch

これがLogwatchによって送られてきた昨日のログ。見ると分かるように7223回もアタックされている。ほかにもFTPやSSHへの不正ログインを試みていたらわかりますし、当分はこれを見ながら地道にブロックしていこう。ほとんど中国が多そうです。

思い切って中国からのアクセスは全て遮断しているところもあるようです。あまりにも多かったら、それも検討するべきかな。

[sc name=”engeneer”]

Published in 生産をあげるITツールの紹介 開発奮闘記