(連日の続きネタ)ネットワーク障害の原因が…なんとなくわかったような気がします。
まずは今日もお詫びから。
ここ連日のネットワーク障害について
本日もネットワークが切断されることによってのサーバ再起動を
以下の時間帯に実施しております。
10時49分
11時16分
12時ちょうど
16時12分
16時52分
17時20分
上記6回について
前後数分間アクセスできなくなっておりました。
ご覧の皆様にはご迷惑をおかけしておりますことを
お詫び申し上げます。
-----
これだけ時間に規則性がないと
(管理人が作った)サーバ上でのプログラムやサーバの負荷状態にまったく関係ないことは、
これまでのブログでも書いたとおりです。
今日も帰宅して早々から
サーバの各種ログやら、さまざまな情報を調査。
…んで
やっと原因らしきものを見つけました。
結論から言うと
外部からの不正アクセスによるものだと思われます。
これまでの調査では、Webに対するアクセスを見ていて
そのほかのアクセスについてはまったく見ていませんでした
(この時点でサーバ管理者としてどうかと思いますが)
「The Sunday Breeze」のサーバでは
Webに関するポート80・443番のほかにも
メールに関するポート(25と110)
telnetのポート(23)
FTPのポート(21)
が開いています。
つまり、Web・メール・FTP・telnetのコマンドで
当サーバにアクセスすると、なんらかの応答が返るようになっています。
(上記以外のポートでは遮断されます)
これまではWebについてだけ調査をしていましたが
今日はそれ以外のアクセスについて調べてみまして…
こんなログが残っていました。
Feb 19 10:47:28 www proftpd[30237]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:30 www proftpd[30238]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:31 www proftpd[30239]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:32 www proftpd[30240]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:36 www proftpd[30249]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:38 www proftpd[30250]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:39 www proftpd[30259]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:40 www proftpd[30260]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:42 www proftpd[30261]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:43 www proftpd[30270]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:44 www proftpd[30271]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:46 www proftpd[30272]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:47 www proftpd[30273]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:47 www proftpd[30282]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:51 www proftpd[30283]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:55 www proftpd[30292]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:56 www proftpd[30293]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:57 www proftpd[30302]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:58 www proftpd[30303]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:48:01 www proftpd[30313]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:48:02 www proftpd[30314]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:48:04 www proftpd[30325]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:48:05 www proftpd[30326]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:48:06 www proftpd[30327]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER www (Login failed): Incorrect password.
短時間(40秒程度)の間に、
FTPへのアクセスが20回以上。
FTPのログインIDに「sundaybreeze」というのは登録していませんので
「ユーザsundaybreezeは存在しません」というエラーで返していますが
最後の1回。
「www」というIDでログインしています。
サーバ上のユーザに「www」というIDが存在します。
ですが、そんな簡単に見破れるようなパスワード設定はしていません。
ログの最後の行「ユーザwwwのパスワードが違います」
これを最後に、ログがとまっています。
ちなみにログをさらに追っていくと
Feb 19 11:15:03 www proftpd[3244]: www.sundaybreeze.jp (114.239.254.240[114.239.254.240]) - USER sundaybreeze: no such user found from 114.239.254.240 [114.239.254.240] to ::ffff:192.168.1.50:21
Feb 19 11:15:03 www proftpd[3245]: www.sundaybreeze.jp (114.239.254.240[114.239.254.240]) - USER www (Login failed): Incorrect password.
Feb 19 11:59:28 www proftpd[4242]: www.sundaybreeze.jp (111.37.1.61[111.37.1.61]) - USER sundaybreeze: no such user found from 111.37.1.61 [111.37.1.61] to ::ffff:192.168.1.50:21
Feb 19 11:59:30 www proftpd[4243]: www.sundaybreeze.jp (111.37.1.61[111.37.1.61]) - USER www (Login failed): Incorrect password.
Feb 19 16:11:35 www proftpd[14208]: www.sundaybreeze.jp (49.159.169.40[49.159.169.40]) - USER sundaybreeze: no such user found from 49.159.169.40 [49.159.169.40] to ::ffff:192.168.1.50:21
Feb 19 16:11:36 www proftpd[14209]: www.sundaybreeze.jp (49.159.169.40[49.159.169.40]) - USER www (Login failed): Incorrect password.
Feb 19 16:51:34 www proftpd[2560]: www.sundaybreeze.jp (1-171-0-168.dynamic.hinet.net[1.171.0.168]) - USER sundaybreeze: no such user found from 1-171-0-168.dynamic.hinet.net [1.171.0.168] to ::ffff:192.168.1.50:21
Feb 19 16:51:35 www proftpd[2561]: www.sundaybreeze.jp (1-171-0-168.dynamic.hinet.net[1.171.0.168]) - USER www (Login failed): Incorrect password.
Feb 19 17:19:42 www proftpd[2075]: www.sundaybreeze.jp (116.226.32.201[116.226.32.201]) - USER sundaybreeze: no such user found from 116.226.32.201 [116.226.32.201] to ::ffff:192.168.1.50:21
Feb 19 17:19:43 www proftpd[2076]: www.sundaybreeze.jp (116.226.32.201[116.226.32.201]) - USER www (Login failed): Incorrect password.
いずれも、冒頭に書いた
「アクセスができなくなって再起動した時間」と一致します。
おそらくこれが原因です。
これまでも
telnetで不正アクセスしてきたIPアドレスについては
それ以降アクセスを完全にシャットアウトするように設定しておりましたが
今回はFTPについても同様のロジックを追加。
(というかFTPについてもロジックがあったはずなのに…なぜか拒否リストに入れられなかった)
不正にFTPアクセスしてきたIPアドレスを完全に拒否するようにしました。
んで早速…
先ほど21時20分にアクセスがありました。
そして拒否リストへ正常に登録されていることを確認しました。
先ほど載せたログのように何回もアクセスされることなく、
1回目のアクセスで接続拒否して、以降(完全に拒否しているため)ログにも出力されなくなっていることを
確認しております。
そしてログには出力されないながらも、アクセスを拒否していることを確認することができました。
(不正アクセスは続いていますが、サーバに入る前で拒否しています)
一応、これまでどおり
ネットワークが不通になった場合に再起動するプログラムを仕込んでおきますが
しばらく様子を見て、再起動しないようでしたら
プログラムの実行をとめたいと思います。
ここ数日、
確かにtelnetの不正アクセスが多いなぁ…とは思っていたんですが
まさかFTPへの不正アクセスでサーバがダウンするとは…
こんなチンケなサーバをダウンさせて、なんのメリットがあるんでしょうか。
-----
さて。
一連のサーバ不具合については、(たぶん)これにて一件落着。
新サーバの構築については
せっかく準備をはじめたので、時間を見ながら進めたいと思います。
(目標:秋)
それよりもスマフォ用サイトの構築を先に。
気がつけば今週末に今年のG1がスタート。
「G1予想大会」と「もうすぐWIN3」のコラボ企画を考えていましたが
とても今からでは準備できません。
今週はこれまでどおり
それぞれ別々の企画として実施します。
高松宮記念から考えようかなぁ。
明日のブログは未定。
少しでもスマフォ用サイトの構築を進めなきゃ。
ここ連日のネットワーク障害について
本日もネットワークが切断されることによってのサーバ再起動を
以下の時間帯に実施しております。
10時49分
11時16分
12時ちょうど
16時12分
16時52分
17時20分
上記6回について
前後数分間アクセスできなくなっておりました。
ご覧の皆様にはご迷惑をおかけしておりますことを
お詫び申し上げます。
-----
これだけ時間に規則性がないと
(管理人が作った)サーバ上でのプログラムやサーバの負荷状態にまったく関係ないことは、
これまでのブログでも書いたとおりです。
今日も帰宅して早々から
サーバの各種ログやら、さまざまな情報を調査。
…んで
やっと原因らしきものを見つけました。
結論から言うと
外部からの不正アクセスによるものだと思われます。
これまでの調査では、Webに対するアクセスを見ていて
そのほかのアクセスについてはまったく見ていませんでした
(この時点でサーバ管理者としてどうかと思いますが)
「The Sunday Breeze」のサーバでは
Webに関するポート80・443番のほかにも
メールに関するポート(25と110)
telnetのポート(23)
FTPのポート(21)
が開いています。
つまり、Web・メール・FTP・telnetのコマンドで
当サーバにアクセスすると、なんらかの応答が返るようになっています。
(上記以外のポートでは遮断されます)
これまではWebについてだけ調査をしていましたが
今日はそれ以外のアクセスについて調べてみまして…
こんなログが残っていました。
Feb 19 10:47:28 www proftpd[30237]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:30 www proftpd[30238]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:31 www proftpd[30239]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:32 www proftpd[30240]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:36 www proftpd[30249]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:38 www proftpd[30250]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:39 www proftpd[30259]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:40 www proftpd[30260]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:42 www proftpd[30261]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:43 www proftpd[30270]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:44 www proftpd[30271]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:46 www proftpd[30272]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:47 www proftpd[30273]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:47 www proftpd[30282]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:51 www proftpd[30283]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:55 www proftpd[30292]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:56 www proftpd[30293]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:57 www proftpd[30302]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:47:58 www proftpd[30303]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:48:01 www proftpd[30313]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:48:02 www proftpd[30314]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:48:04 www proftpd[30325]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:48:05 www proftpd[30326]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER sundaybreeze: no such user found from 61.172.115.228 [61.172.115.228] to ::ffff:192.168.1.50:21
Feb 19 10:48:06 www proftpd[30327]: www.sundaybreeze.jp (61.172.115.228[61.172.115.228]) - USER www (Login failed): Incorrect password.
短時間(40秒程度)の間に、
FTPへのアクセスが20回以上。
FTPのログインIDに「sundaybreeze」というのは登録していませんので
「ユーザsundaybreezeは存在しません」というエラーで返していますが
最後の1回。
「www」というIDでログインしています。
サーバ上のユーザに「www」というIDが存在します。
ですが、そんな簡単に見破れるようなパスワード設定はしていません。
ログの最後の行「ユーザwwwのパスワードが違います」
これを最後に、ログがとまっています。
ちなみにログをさらに追っていくと
Feb 19 11:15:03 www proftpd[3244]: www.sundaybreeze.jp (114.239.254.240[114.239.254.240]) - USER sundaybreeze: no such user found from 114.239.254.240 [114.239.254.240] to ::ffff:192.168.1.50:21
Feb 19 11:15:03 www proftpd[3245]: www.sundaybreeze.jp (114.239.254.240[114.239.254.240]) - USER www (Login failed): Incorrect password.
Feb 19 11:59:28 www proftpd[4242]: www.sundaybreeze.jp (111.37.1.61[111.37.1.61]) - USER sundaybreeze: no such user found from 111.37.1.61 [111.37.1.61] to ::ffff:192.168.1.50:21
Feb 19 11:59:30 www proftpd[4243]: www.sundaybreeze.jp (111.37.1.61[111.37.1.61]) - USER www (Login failed): Incorrect password.
Feb 19 16:11:35 www proftpd[14208]: www.sundaybreeze.jp (49.159.169.40[49.159.169.40]) - USER sundaybreeze: no such user found from 49.159.169.40 [49.159.169.40] to ::ffff:192.168.1.50:21
Feb 19 16:11:36 www proftpd[14209]: www.sundaybreeze.jp (49.159.169.40[49.159.169.40]) - USER www (Login failed): Incorrect password.
Feb 19 16:51:34 www proftpd[2560]: www.sundaybreeze.jp (1-171-0-168.dynamic.hinet.net[1.171.0.168]) - USER sundaybreeze: no such user found from 1-171-0-168.dynamic.hinet.net [1.171.0.168] to ::ffff:192.168.1.50:21
Feb 19 16:51:35 www proftpd[2561]: www.sundaybreeze.jp (1-171-0-168.dynamic.hinet.net[1.171.0.168]) - USER www (Login failed): Incorrect password.
Feb 19 17:19:42 www proftpd[2075]: www.sundaybreeze.jp (116.226.32.201[116.226.32.201]) - USER sundaybreeze: no such user found from 116.226.32.201 [116.226.32.201] to ::ffff:192.168.1.50:21
Feb 19 17:19:43 www proftpd[2076]: www.sundaybreeze.jp (116.226.32.201[116.226.32.201]) - USER www (Login failed): Incorrect password.
いずれも、冒頭に書いた
「アクセスができなくなって再起動した時間」と一致します。
おそらくこれが原因です。
これまでも
telnetで不正アクセスしてきたIPアドレスについては
それ以降アクセスを完全にシャットアウトするように設定しておりましたが
今回はFTPについても同様のロジックを追加。
(というかFTPについてもロジックがあったはずなのに…なぜか拒否リストに入れられなかった)
不正にFTPアクセスしてきたIPアドレスを完全に拒否するようにしました。
んで早速…
先ほど21時20分にアクセスがありました。
そして拒否リストへ正常に登録されていることを確認しました。
先ほど載せたログのように何回もアクセスされることなく、
1回目のアクセスで接続拒否して、以降(完全に拒否しているため)ログにも出力されなくなっていることを
確認しております。
そしてログには出力されないながらも、アクセスを拒否していることを確認することができました。
(不正アクセスは続いていますが、サーバに入る前で拒否しています)
一応、これまでどおり
ネットワークが不通になった場合に再起動するプログラムを仕込んでおきますが
しばらく様子を見て、再起動しないようでしたら
プログラムの実行をとめたいと思います。
ここ数日、
確かにtelnetの不正アクセスが多いなぁ…とは思っていたんですが
まさかFTPへの不正アクセスでサーバがダウンするとは…
こんなチンケなサーバをダウンさせて、なんのメリットがあるんでしょうか。
-----
さて。
一連のサーバ不具合については、(たぶん)これにて一件落着。
新サーバの構築については
せっかく準備をはじめたので、時間を見ながら進めたいと思います。
(目標:秋)
それよりもスマフォ用サイトの構築を先に。
気がつけば今週末に今年のG1がスタート。
「G1予想大会」と「もうすぐWIN3」のコラボ企画を考えていましたが
とても今からでは準備できません。
今週はこれまでどおり
それぞれ別々の企画として実施します。
高松宮記念から考えようかなぁ。
明日のブログは未定。
少しでもスマフォ用サイトの構築を進めなきゃ。
このネタへのコメント:
コメントはありません。