サーバを置き換えようと思ってから、もう、1年も経過してる。
去年の今頃くらいの話だったからなぁ
やろうと思うたびに、あの悪夢が脳裏を掠めてしまう。
今のサーバは、これ以上ないくらい安定稼動しているし。
いったい、何年使っているんだろうというくらいに。

とはいえ、先週くらいから急にシスログ（システムに関するログ）のサイズが急に30倍くらいに大きくなっていた。
いくらなんでもおかしいと気づくので、内容を見てみると…
同一ユーザからFTPにアタックくらってた…しかもユーザ名は Administrator オンリーで。
パスワードを試行錯誤してたんだろうな。

とりあえず時間がなかったので、接続できないようにFTPサービスを落として出社した。
もちろん、自分も接続できなくなるので暫定処置として(^_^;

シスログだけではないのだけれど、定期的に見ておかないと異状を見つけるのが困難だね。
再認識した。

さて、根本的な対処なんだけれど…
実際のところ、アタックを止める有効な手段ってないんだよね。

IPアドレスが特定されているから、そこからのアクセスを拒否してしまえばとりあえずは止まる。
でも、他のIPアドレスで再開されたら、また設定しなおさなくちゃならない。
暫定ならともかく、根本的な問題解決方法じゃない。

では、特定のIPアドレスからのみアクセスを受け付ける方法にしたらどうか？
早速設定変更しようとコンフィグファイルを見てみると…
設定をコメントアウトしてあった（TT）
そういや、外出先（会社とかネットカフェとか）で使うとか、友人/知人に公開することもあるので、単純なIPアドレス制限はしないと決めたんだっけ。

ふと、大量にアクセスしてきた場合に対象ノードを止めればいいのではないかと思いつく。
が、思いつくのは大掛かりなシステムになってしまって、簡単な設定方法が思いつかない。
それに、僕の運用方法だと僕自身が止めらることがありそう。
こいつは技術的にも運用的にもNG。

帰ってきてからFTPサービスを稼動させはじめて、とりあえず様子をみてみるつもり。
いくらなんでも「アタックしていることに気づかれた」と疑うだろうし、IPアドレスを間違えていただけならここでシステム障害を検知するだろうし。
なんでいきなりシステム障害という話になるのかといえば、アタック元のIPアドレスが「とある海外ISP」だから。
「勘弁してくれよ」とは思うのだけど。
推測だけど、Windows上で動作しているFTPサービスに自動でファイルを送るシステムでも構築しているのだろう。
ログをバックアップ目的で転送するのにFTPを使うなんてことは、よくある話だ。
当然、ユーザアカウントも毎回同じになる。

が、常識を知ってるなら Administrator なんていう、システムにとっては神に匹敵する管理ユーザじゃなくて、専用ユーザアカウントを用意するもんなんだけどね。

それに、10/17から10/20までのログに羅列された行だけみれば2283回を数える。
実際には同じ内容のログが続けて出力されてきたらシスログがひとまとめにして報告してしまうから、その3倍以上のアクセスがある。
まともなシステムなら、いくらなんでもエラーメッセージが大量にでて大変なことになってるはずだけど。
だから「アタック」としての性質を否定できない。

サービスを再開して、それでもアタックが続くようならISPに苦情をだしとこう。
というわけで、その証拠となるログはバックアップして別に保管しておいた。
面倒なのは嫌なので、これで終わりになってほしいもの。