Index / Reload
はじめまして。とても勉強になります。有難うございました!
スクリプトを利用させていただいて重宝しております。既にご存知のこととは思いますが、AfriNICも2005年から稼動しているようで、2005年2月以降の生データを次のURLからダウンロードできました。まあ〜、アフリカ諸国からの目立つような不正アクセスは、無いかもしれませんが、、、、ftp://ftp.afrinic.net/pub/stats/afrinic
リストを使用させていただきました。当方では、MySQLに突っ込んで、PHPから問い合わせをするようにしてみました。これも、このリストがあればこそです。ありがとうございます!
ついにFirewallを設定して韓国に割り当てられているip-addressを遮断しました。Rejectしたログを見ると、まったくよくやって来ますねと言いたい感じです。
nminoruさん即座のご回答ありがとうございます。よく分かりました。 私も以前、ワーム攻撃のログを別ログにして1日あたりの件数の統計を取っていました。たしかに、韓国が多かったのを覚えていますが、最近は私のところでは鳴りを潜めています。最近悩まされるのはhttpdよりtelnet、ftpなどのアタックとスパムメールです。telnet、ftpなどは破られはしないし、スパムも色々やってかなり防いだのですが、こういうものも韓国が多いように感じていますし、気分のよいものではないですね。まったく、韓国とは絶縁するfirewallでも作りたくなります。
Naka さん、はじめまして。http の不正アクセスはリクエストの URL を見て、IIS の乗っ取りを狙った Code Red 系のワーム("GET /default.ida?XXXXXXXX ... %u0078%u0000%u00=a HTTP/1.0") などのアクセスを不正と判断しています。アクセスログは http://www.nminoru.jp/~nminoru/unix/apache.html#setenvif1 のような方法であらかじめ別ログファイルに切り分けております。SMTP は Postfix ですので、そのログを自前スクリプトで切り貼りして分析しております。
初歩的な質問で申し訳ないですが、httpの不正アクセスは、何をもって不正とされているのでしょうか。また、smtpの不正アクセスは検出用にはどういうログを入力されていますか。
いつも使わせて頂いております。 たいへん助かります。お礼もうしあげます。
はじめまして。とても勉強になります。
有難うございました!
スクリプトを利用させていただいて重宝しております。
既にご存知のこととは思いますが、AfriNICも2005年から稼動しているようで、2005年2月以降の生データを次のURLからダウンロードできました。
まあ〜、アフリカ諸国からの目立つような不正アクセスは、無いかもしれませんが、、、、
ftp://ftp.afrinic.net/pub/stats/afrinic
リストを使用させていただきました。
当方では、MySQLに突っ込んで、PHPから問い合わせをするようにしてみました。
これも、このリストがあればこそです。
ありがとうございます!
ついにFirewallを設定して韓国に割り当てられているip-addressを遮断しました。
Rejectしたログを見ると、まったくよくやって来ますねと言いたい感じです。
nminoruさん
即座のご回答ありがとうございます。
よく分かりました。 私も以前、ワーム攻撃のログを別ログにして1日あたりの件数の統計を取っていました。
たしかに、韓国が多かったのを覚えていますが、最近は私のところでは鳴りを潜めています。
最近悩まされるのはhttpdよりtelnet、ftpなどのアタックとスパムメールです。telnet、ftpなどは破られはしないし、スパムも色々やってかなり防いだのですが、こういうものも韓国が多いように感じていますし、気分のよいものではないですね。
まったく、韓国とは絶縁するfirewallでも作りたくなります。
Naka さん、はじめまして。
http の不正アクセスはリクエストの URL を見て、IIS の乗っ取りを狙った Code Red 系のワーム("GET /default.ida?XXXXXXXX ... %u0078%u0000%u00=a HTTP/1.0") などのアクセスを不正と判断しています。
アクセスログは http://www.nminoru.jp/~nminoru/unix/apache.html#setenvif1 のような方法であらかじめ別ログファイルに切り分けております。
SMTP は Postfix ですので、そのログを自前スクリプトで切り貼りして分析しております。
初歩的な質問で申し訳ないですが、httpの不正アクセスは、何をもって不正とされているのでしょうか。
また、smtpの不正アクセスは検出用にはどういうログを入力されていますか。
いつも使わせて頂いております。
たいへん助かります。お礼もうしあげます。