2017年02月
2017年02月21日
※Plesk ISO を利用して Ubuntu をインストールしました。しかしながら基本的なOSの操作は一緒です。
[Ubuntu]ローカルIPアドレスを固定にする
上記の通りです。
ファイルの編集
# vi /etc/network/interfaces
こんな感じです。dhcp→static
※ 16.04 ですが eth0 です。
auto eth0
#iface eth0 inet dhcp
iface eth0 inet static
address 192.168.XX.XX
netmask 255.255.255.0
gateway 192.168.XX.XX
なお、この状態で service networking restart と行うと、DHCPで取得したIPプラス、上記で設定したIPとなってしまいました。
上記参考サイトにもあるように、reboot で1つのIPになりました。
[Ubuntu]ローカルIPアドレスを固定にする
上記の通りです。
ファイルの編集
# vi /etc/network/interfaces
こんな感じです。dhcp→static
※ 16.04 ですが eth0 です。
auto eth0
#iface eth0 inet dhcp
iface eth0 inet static
address 192.168.XX.XX
netmask 255.255.255.0
gateway 192.168.XX.XX
なお、この状態で service networking restart と行うと、DHCPで取得したIPプラス、上記で設定したIPとなってしまいました。
上記参考サイトにもあるように、reboot で1つのIPになりました。
2017年02月20日
iptables の管理をしていました。海外からのアクセスを拒否するために、たくさんの行をコピーし、貼り付けを行いました。
そのとき、 # から始まる行を貼り付けることがありました。もちろんこの行はこういう理由ですというコメントとしての扱いです。
しかし最初の数行がコメントになっていると、それに続く下の行も、すべて先頭に#が付き、コメント扱いになってしまいます。
何だろうと調べてみました。
【PuTTY+vim】設定やソースコードをコピペ入力する方法(コメント自動認識対策)
上記の通り、機能でコメントとして扱われるようです。
ということで vi から以下の設定を投入します。
:set paste
これで貼り付けモードになり、コメント扱いにされなくなりました。
そのとき、 # から始まる行を貼り付けることがありました。もちろんこの行はこういう理由ですというコメントとしての扱いです。
しかし最初の数行がコメントになっていると、それに続く下の行も、すべて先頭に#が付き、コメント扱いになってしまいます。
何だろうと調べてみました。
【PuTTY+vim】設定やソースコードをコピペ入力する方法(コメント自動認識対策)
上記の通り、機能でコメントとして扱われるようです。
ということで vi から以下の設定を投入します。
:set paste
これで貼り付けモードになり、コメント扱いにされなくなりました。
2017年02月19日
2017年02月18日
前回の記事で Apache由来のメール送信が行われているっぽいことがわかりました。
ということで次は secure ログの調査を行います。
# cat /var/log/secure |grep "Login successful" |less
proftpd[29219]: 127.0.0.1 (X.X.X.X[X.X.X.X]) - USER XXX: Login successful.
ログインが成功したログが上記の通りでています。
そしてこのときのIPがなんと海外からでした。もちろん海外からログインするようなことは無いので不正アクセスだと思われます。
User XXX が操作することのできる、Webサイトにアクセスしました。しかしながら改ざんは行われておりませんでした。
一方で、ディレクトリ内には不正なプログラムが設置されていました。
powered.php
version.php
yt.php
InboxUnlimited.php
などなどです。
すぐに FTPのユーザー名・パスワードを変更し、ディレクトリ内のファイルは削除しました。
また、海外からのFTPアクセスもすべて拒否することにしました。
とりあえずこれで様子を見たいと思います。
ということで次は secure ログの調査を行います。
# cat /var/log/secure |grep "Login successful" |less
proftpd[29219]: 127.0.0.1 (X.X.X.X[X.X.X.X]) - USER XXX: Login successful.
ログインが成功したログが上記の通りでています。
そしてこのときのIPがなんと海外からでした。もちろん海外からログインするようなことは無いので不正アクセスだと思われます。
User XXX が操作することのできる、Webサイトにアクセスしました。しかしながら改ざんは行われておりませんでした。
一方で、ディレクトリ内には不正なプログラムが設置されていました。
powered.php
version.php
yt.php
InboxUnlimited.php
などなどです。
すぐに FTPのユーザー名・パスワードを変更し、ディレクトリ内のファイルは削除しました。
また、海外からのFTPアクセスもすべて拒否することにしました。
とりあえずこれで様子を見たいと思います。
2017年02月17日
僕が管理しているメールサーバーが、ある日突然ブラックリストに掲載されるようになってしまいました。
ということで、以下の調査を行いました。
リレーエラーを確認
#cat /var/log/maillog |grep "Relay access denie" |less
大量にログが出てくる場合、アタックだと思われるためIPを拒否するなどした方がよさそうです。
メールサーバーに接続してくるサーバーを確認
#cat /var/log/maillog |grep "connect from" |grep -v disconnect |less
本当は sort とか uniq とか組み合わせた方がいいです。
特定のサーバーから接続が頻繁に行われている場合、スパム等の送信が行われている可能性があります。
※ただし僕の環境では大量に正しい接続もあり、あんまり参考にはなりませんでした。
RCPT from を確認する
#cat /var/log/maillog |grep "RCPT from" |less
このログも正常なものも含めて大量にでていました。このログのなかで、127.0.0.1 から大量にメール送信が行われていることが確認できました。
これはApache経由の可能性が濃厚です。
上記の通りなので、Apacheを経由して大量にメールが送信されているようです。引き続き、次回以降でチェックしていきます。
ということで、以下の調査を行いました。
リレーエラーを確認
#cat /var/log/maillog |grep "Relay access denie" |less
大量にログが出てくる場合、アタックだと思われるためIPを拒否するなどした方がよさそうです。
メールサーバーに接続してくるサーバーを確認
#cat /var/log/maillog |grep "connect from" |grep -v disconnect |less
本当は sort とか uniq とか組み合わせた方がいいです。
特定のサーバーから接続が頻繁に行われている場合、スパム等の送信が行われている可能性があります。
※ただし僕の環境では大量に正しい接続もあり、あんまり参考にはなりませんでした。
RCPT from を確認する
#cat /var/log/maillog |grep "RCPT from" |less
このログも正常なものも含めて大量にでていました。このログのなかで、127.0.0.1 から大量にメール送信が行われていることが確認できました。
これはApache経由の可能性が濃厚です。
上記の通りなので、Apacheを経由して大量にメールが送信されているようです。引き続き、次回以降でチェックしていきます。
2017年02月16日
Postfix でリレーサーバーの設定を行いたいと思っていました。
先日の記事に書いたとおりです。 Plesk 環境の Postfix でメールリレーの設定を行う。2017/02/12
このときいろいろ調べていたのですが、sender_dependent_default_transport_maps というのがあり、これは、送信[者]のアドレスによってリレーを制御できるようです。
上記記事の設定では、送信先のメールアドレスによってリレーを設定するものでした。
そのため、Aさんがメールを送信する場合、Aサーバーを利用。Bさんがメールを送信する場合Bサーバーを利用。
そのような方法ができるようです。
Postfixの大規模環境に対応するためなのでしょうか?
参考
Postfix の sender_dependent_default_transport_maps
PCで: Linuxで受け取ったメールをコピーを残しつつ転送
先日の記事に書いたとおりです。 Plesk 環境の Postfix でメールリレーの設定を行う。2017/02/12
このときいろいろ調べていたのですが、sender_dependent_default_transport_maps というのがあり、これは、送信[者]のアドレスによってリレーを制御できるようです。
上記記事の設定では、送信先のメールアドレスによってリレーを設定するものでした。
そのため、Aさんがメールを送信する場合、Aサーバーを利用。Bさんがメールを送信する場合Bサーバーを利用。
そのような方法ができるようです。
Postfixの大規模環境に対応するためなのでしょうか?
参考
Postfix の sender_dependent_default_transport_maps
PCで: Linuxで受け取ったメールをコピーを残しつつ転送
2017年02月15日
Pleskを構築するとき、Linuxのインストールを行ってからPleskをインストールします。
しかし Plesk社より OS セットの ISO が用意されています。
Powering up your free trial....
Plesk Onyx Centos 7.x - x64:
Plesk Onyx Ubuntu 16.x - x64:
OSをインストールするとき、パッケージの選択などは無く、パーティションの設定のみが可能でした。
パッケージについては、デスクトップはインストールされていません。
またOSのインストールが完了すると、自動的に plesk のインストールが始まります。
※このインストールについては、バックグラウンドで行われるため画面には何もでてきません。ログを確認するか、プロセスを確認します。
Pleskのインストールが完了すると以下の画面が表示されました。
Congratulations!
Plesk has been successfully installed on your server.
To complete the system configuration, please proceed to URL:
https://:8443/ or
https://:8443/
Use the login name 'root' and your superuser password.
Further, use the following commands to start and stop Plesk:
"/etc/init.d/psa start" and
"/etc/init.d/psa stop" respectively.
All Plesk control panel documentation is available at
http://www.parallels.com/en/products/plesk/docs
Thank you for choosing our products!
Parallels Plesk Panel is running on this server.
あとは、上記の通り https://:8443/ でPleskの管理画面が表示されます。
しかし Plesk社より OS セットの ISO が用意されています。
Powering up your free trial....
Plesk Onyx Centos 7.x - x64:
Plesk Onyx Ubuntu 16.x - x64:
OSをインストールするとき、パッケージの選択などは無く、パーティションの設定のみが可能でした。
パッケージについては、デスクトップはインストールされていません。
またOSのインストールが完了すると、自動的に plesk のインストールが始まります。
※このインストールについては、バックグラウンドで行われるため画面には何もでてきません。ログを確認するか、プロセスを確認します。
Pleskのインストールが完了すると以下の画面が表示されました。
Congratulations!
Plesk has been successfully installed on your server.
To complete the system configuration, please proceed to URL:
https://
https://
Use the login name 'root' and your superuser password.
Further, use the following commands to start and stop Plesk:
"/etc/init.d/psa start" and
"/etc/init.d/psa stop" respectively.
All Plesk control panel documentation is available at
http://www.parallels.com/en/products/plesk/docs
Thank you for choosing our products!
Parallels Plesk Panel is running on this server.
あとは、上記の通り https://
