比例道

月に1回更新します

httpdサーバーへの攻撃っぽい

ルーターのログを見てみた。match access list packet discardedってのが2秒に1回記録されていて、udpの137番のパケットが廃棄されていた。これは犯人ではない。だって廃棄されているのだから。それに2秒に1回では問題ない。じゃあ、ルーターファイアウォールが理解できないか、ルーターを素通りしているパケットが原因だ。

サーバーの/var/log/messagesを見ると、1秒間に3回SELinuxが警告を出していた。

Apr 2 08:41:59 xxxxxx setroubleshoot: SELinux is preventing the httpd from using potentially mislabeled files (/var/www/html). For complete SELinux messages. run sealert -l 61c4d152-ffcd-4125-ab87-4a4b0e2c4432 Apr 2 08:41:59 xxxxxx setroubleshoot: SELinux is preventing the httpd from using potentially mislabeled files (./passwiki.php). For complete SELinux messages. run sealert -l 5ddae690-835a-43d3-bdd6-e0c3f25cd7b6 Apr 2 08:41:59 xxxxxx setroubleshoot: SELinux is preventing the httpd from using potentially mislabeled files (./64696172792F3230313030xxxxxx). For complete SELinux messages. run sealert -l 495c6b67-4104-4a40-bba7-36e9fc17db34

どうもこれが犯人っぽい。httpdアクセスログやエラーログを見るとこれに関するログは記録されていない。どうやらSELinuxが破棄してくれているようだ。1秒に3回は多いのだろう。

sealert -l 61c4d152-ffcd-4125-ab87-4a4b0e2c4432を走らせろって書いてあるので、やってみたらSELinuxのメッセージが(ありがたいことに日本語で)出てきた。しかし、読んでも内容が分からない。

First Seen Sun Nov 13 14:04:09 2016 Last Seen Sun Apr 2 09:43:36 2017

とあるので、この攻撃は去年の11月から始まったようだ。passwikiのコメント欄への迷惑書き込みが始まったのも去年の11月だ。これはpasswikiをターゲットにした攻撃のようだ。SELinuxが弾いてくれているが、ルーターは正常なhttpアクセスと思って通している。サーバーの負荷は上がっていないので、SELinuxが弾く労力は問題ではないのだろう。通信が遅くなっているので、通信の量が問題だ。

うーむ、元のIPを指定して弾くことがルーターの機能にあるだろうか。なければお手上げなんだが。今もルーターのACTランプは点滅を続けている。通信もひどく遅い。