サーバのログのサマリがlogwatchによって送られて来ます。うちは、ルータのログもメインのサーバのsyslog経由で吐き出しているので、それの解析サービスも、書き起こして入れてあります。ルータのログのうち firewallセクションからの報告は、あまりに数が多くなるので、LevelをHighにしない限り拒絶/受付トップ5だけが表示されるようになっています。大抵は、国外のサイトからのアクセスを拒絶したレポートが出ているのですが、今日は国内からの攻撃が出ていました。kctvxxxxx.ccnew.ne.jp(219.124.203.xxx)から1433(ms-sql-s)へのアクセスなので、その手のワームにやられたPCなのでしょう。
日々のログ解析は、システムをセキュアに保つためには必要なことです。こうして攻撃の兆候を掴むことが出来ますから。ただし、ひとたび侵入を許せば、rootkitなどによって、改ざんされてしまい、使い物にならなくなってしまいますが。(我が家には、この種の攻撃を防止するための予防策も講じてありますが。)
コメント