引っ越して、このブログを設定し始めた時から不正アクセスが…
それも、管理IDとユーザ登録し、有効にする前のIDを使ってログイン試行された…
このシステムの提供元さえ疑いたくなる(提供元ならIDだけじゃなくPassも抜けるか)
しかも、だれもが知ってる世界的にメジャーな所数社の所有アドレスから
その中三社から、私のIDで
1.不正利用がありブロックました
2.利用を制限しております
ってメールが…
でもそれ私自身です、何にをもとに不正 利用 と判断したの?
それ以前に、自社管理アドレスから不正アクセスできないようにして頂きたいものです。
仕方ないので、SQLをたたいて、管理者IDと、抜かれたID変えました、(システムではID変更不可)
以下、不正アクセス対策参考アドレス
ハッキングに遭って、踏み台にされた話
ttp://blog.ybbo.net/2013/12/18/ハッキングに遭って、踏み台にされた話/
・lastコマンドでログイン履歴を確認。
【ログイン履歴の確認】
・wコマンドで他のユーザがいないかを確認。
・ログの確認。
SSHのログを調査。
less /var/log/secure | grep “session opened for user” | less
less /var/log/secure | grep “Invalid user” | less
less /var/log/secure | grep “failure” | less
メールサーバーに不正ログインの形跡がないかチェックする
ttp:// www.saintsouth.net/blog/check-postfix-log-for-attacking/
しつこくSMTP Authを試みてくるIP Addressをiptablesでブロックする
ttp:// takeda-h.hatenablog.com/entry/2014/09/18/004320
WHOIS検索 | ドメインの所有者情報を簡単検索 | すぐに使える便利なWEBツール
ttps://tech-unlimited.com/whois.html
ドメイン/IPアドレス サーチ 【whois情報検索】
ttps://www.cman.jp/network/support/ip.html
― 世界の国別 IPv4 アドレス割り当てリスト ―
ttp://nami.jp/ipv4bycc/