今日も、なにげにログを見ていて(性格悪い?(笑))、みつけてしまいました。
/var/log/secureを"FAIL"でgrepすると、"swat"が山とヒットするんです。
sgi_famでひと段落、落ち着いたと思っていたのに甘かった。
swatとは、sambaをWeb経由でコンフィギュレーションするモノです。
なんで、ローカル以外の人がアクセスするわけ?
samba自体、LAN内で使うモノなんだし...う~~
sambaのセキュリティホールでも狙っているのかしら?
っと思って、調べてみたらみつかりました。
linux.or.jpのセキュリティ情報からの引用なのですが、下記のようなセキュリティホールがあるそうです。
Samba
2.2 系の 2.2.9 までのバージョンおよび 3.0 系の 3.0.4 までのバージョンの hash アルゴリズムに,
リモートからのシステムの不正なクラッシュや, 任意のコードを実行を可能とする不具合が発見されました.
また, 3.0 系においては, ウェブベースの管理ツール SWAT に,
リモートからの任意のコードの実行を可能とする不具合も発見されています.
該当するバージョンをご利用の方は, 早急に最新の 2.2.10 または 3.0.5 か,
各ディストリビュータから公開されている対応済のパッケージにアップグレードしておきましょう.
Samba
(1,2),CAN-2004-0600,CAN-2004-0686
[RedHat,Miracle]
実は私、smb.confをエディタで更新するのが好きなもので、swatはほとんど使わないんです。
#「あれ?じゃ、なんでMT使っているの?」って聞くのはナシね(笑)。
swatも止めちゃおうかなぁ~~
しっかし、敵もさるもの、あの手この手でアクセスしてきますわね。
どんな悪さしようと企んでいるんでしょうか?
そこで、本日の晒しモノ...swatさん一覧であります。
Aug 5 050:17 megu xinetd[31557]: FAIL: swat address from=218.152.27.6 Aug 5 07:18:54 megu xinetd[32311]: FAIL: swat address from=65.60.147.26 Jul 25 09:07:45 megu xinetd[13157]: FAIL: swat address from=4.15.237.105 Jul 13 031:24 megu xinetd[5216]: FAIL: swat address from=211.198.231.148 Jul 13 0311 megu xinetd[5217]: FAIL: swat address from=220.72.244.186 Jul 13 048:09 megu xinetd[5224]: FAIL: swat address from=80.5.78.164 Jul 13 049:42 megu xinetd[5225]: FAIL: swat address from=218.152.231.171 Jul 13 049:57 megu xinetd[5226]: FAIL: swat address from=203.40.163.154 Jul 13 050:27 megu xinetd[5227]: FAIL: swat address from=220.72.244.186 Jul 13 055:49 megu xinetd[5235]: FAIL: swat address from=218.152.231.171 Jul 13 059:23 megu xinetd[5240]: FAIL: swat address from=220.88.7.170 Jul 13 05:00:42 megu xinetd[5241]: FAIL: swat address from=218.51.151.154 Jul 13 05:010 megu xinetd[5248]: FAIL: swat address from=61.42.129.9 Jul 13 05:016 megu xinetd[5249]: FAIL: swat address from=220.87.116.123 Jul 13 05:050 megu xinetd[5256]: FAIL: swat address from=211.107.231.36 Jul 13 05:06:06 megu xinetd[5257]: FAIL: swat address from=220.88.7.170 Jul 13 05:12:42 megu xinetd[5287]: FAIL: swat address from=80.5.78.164 Jul 13 05:18:21 megu xinetd[5290]: FAIL: swat address from=211.178.35.229 Jul 13 05:19:15 megu xinetd[5294]: FAIL: swat address from=213.214.55.190 Jul 13 05:222 megu xinetd[5299]: FAIL: swat address from=61.42.129.9
sshやtelnetでトライしてくる人も相変わらずいるし....もう~~っ!!
ワームに感染して変なスクリプト実行しようとしてくるのも困るけれど、
swatなんか絶対に、意図的にアクセスしてきてるんですよねっ。
なんか、お仕置きする、いい手ないかなぁ~
swatは起動しないようにして、901番ポートにつないできたら 「お仕置き画面」を表示するとか?(笑)
#もしかしてこれって名案かも...。
いえいえ、やめておlきます..。
だって、悪意をもってアクセスしてくる人たちは、そんなことされたら、逆切れされる可能性がありますよね?
小心モノなのでやめておこう....。でも↑にさらしちゃったけど....
たぶん彼らは日本語がわからないから大丈夫....ということにしておこう(笑)。
投稿者 megu : 2004年08月06日 00:04
