UJP - 技術情報2 バックアップ : YAMAHA/RTX/show_status_boot のバックアップの現在との差分(No.1)

差分を表示
ソースを表示
YAMAHA/RTX/show_status_boot へ行く。

--- 1: 2017-12-03 (日) 01:48:59 nobuaki
+++ 現: 2017-12-04 (月) 23:03:07 shinnai
@@ Line 1: / Line 1: @@
-*ヤマハのRTX1100で中国からの不正なVPNをブロックする [#s9bfbea5]
+TITLE:show status bootで起動情報を確認する!
+*show status bootで起動情報を確認する [#f4d59b8c]
-**はじめに [#m95a8806]
+　ヤマハのルータRTX1100が調子悪いので情報を確認する．．
-　ヤマハのVPNルータRTX1100が再起動していたので，原因を調べたらインターネット側からの攻撃があるということだったので調べて見る．
+**起動した日付を確認 [#vf5d7d60]
-**syslogからの調査 [#pf2e552c]
+　show environmentコマンドで，起動日時を確認する．
-　VPNはPPTPを使いっていて，GREで1723ポートを使っているので，そこのへのアクセスしてきたログを調べて見る．
+ # show environment🆑
+ RTX1100 BootROM Rev.5.07
+ RTX1100 Rev.8.03.88 (Fri Mar  5 16:31:42 2010)
+   main:  RTX1100 ver=c0 serial=N1A000000 MAC-Address=be MAC-Address=bf MAC-Address=c0
+ CPU:   4%(5sec)   4%(1min)   4%(5min)    Memory: 30% used
+ Firmware: exec0  Config. file: config1
+ Default firmware: exec0  Default config. file: config1
+ Boot time: 2015/07/14 22:01:39 +09:00🈁
+ Current time: 2015/10/07 19:00:58 +09:00🈁
+ Elapsed time from boot: 84days 20:59:19
+ Security Class: 1, FORGET: ON, TELNET: OFF
+ #
- pp1# show log|grep 1723
+　今日が10月7日で，起動したのが7月14日．約３ヶ月前に再起動した覚えは，ない．詳細を確認する．
-/10/16 04:12:41: PP[01] Passed at IN(2009) filter: TCP 113.108.21.16:22207 > 192.168.0.1:1723
-/10/16 04:12:41: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:52572 > 192.168.0.1:1723
-/10/16 04:12:42: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:52572 > 192.168.0.1:1723
-/10/16 04:12:42: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:52572 > 192.168.0.1:1723
-/10/16 04:12:44: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:55607 > 192.168.0.1:1723
-/10/16 04:12:44: PP[01] Passed at IN(2009) filter: TCP 113.108.21.16:22207 > 192.168.0.1:1723
-/10/16 04:12:45: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:55607 > 192.168.0.1:1723
-/10/16 04:12:45: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:55607 > 192.168.0.1:1723
-/10/16 04:12:45: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:55607 > 192.168.0.1:1723
-/10/16 09:26:34: PP[01] Passed at IN(2009) filter: TCP 113.108.21.16:22206 > 192.168.0.1:1723
-/10/16 09:26:37: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:39988 > 192.168.0.1:1723
-/10/16 09:26:37: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:39988 > 192.168.0.1:1723
-/10/16 09:26:38: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:39988 > 192.168.0.1:1723
-/10/16 14:40:23: PP[01] Passed at IN(2009) filter: TCP 113.108.21.16:22208 > 192.168.0.1:1723
-/10/16 14:40:24: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:43847 > 192.168.0.1:1723
-/10/16 14:40:24: PP[01] Passed at IN(2009) filter: TCP 113.108.21.16:22208 > 192.168.0.1:1723
-/10/16 14:40:24: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:43847 > 192.168.0.1:1723
-/10/16 14:40:25: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:43847 > 192.168.0.1:1723
-/10/16 14:40:25: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:43847 > 192.168.0.1:1723
-/10/17 01:08:17: PP[01] Passed at IN(2009) filter: TCP 113.108.21.16:22207 > 192.168.0.1:1723
-/10/17 01:08:19: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:25079 > 192.168.0.1:1723
-/10/17 01:08:20: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:25079 > 192.168.0.1:1723
-/10/17 01:08:20: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:25079 > 192.168.0.1:1723
-/10/17 06:22:03: PP[01] Passed at IN(2009) filter: TCP 113.108.21.16:22208 > 192.168.0.1:1723
-/10/17 06:22:04: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:19783 > 192.168.0.1:1723
-/10/17 06:22:05: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:19783 > 192.168.0.1:1723
-/10/17 06:22:05: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:19783 > 192.168.0.1:1723
-/10/17 11:35:50: PP[01] Passed at IN(2009) filter: TCP 113.108.21.16:22207 > 192.168.0.1:1723
-/10/17 11:35:50: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:35717 > 192.168.0.1:1723
-/10/17 11:35:50: PP[01] Passed at IN(2009) filter: TCP 113.108.21.16:22207 > 192.168.0.1:1723
-/10/17 11:35:51: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:35717 > 192.168.0.1:1723
-/10/17 11:35:51: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:35717 > 192.168.0.1:1723
-/10/17 11:35:51: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:35717 > 192.168.0.1:1723
-/10/17 16:49:52: PP[01] Passed at IN(2009) filter: TCP 113.108.21.16:22208 > 192.168.0.1:1723
-/10/17 16:49:53: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:38887 > 192.168.0.1:1723
-/10/17 16:49:53: PP[01] Passed at IN(2009) filter: TCP 113.108.21.16:22208 > 192.168.0.1:1723
-/10/17 16:49:53: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:38887 > 192.168.0.1:1723
-/10/17 16:49:54: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:38887 > 192.168.0.1:1723
-/10/17 16:49:54: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:38887 > 192.168.0.1:1723
- pp1#
-.60.48.25と113.108.21.16からのアクセスがあることがわかった．
+**show status boot [#je525ff2]
-**RTXでフィルタ設定をする [#r2f56cf8]
+　show status bootコマンドで，前回の再起動理由を確認してみる．
-　不正アクセスがあったアドレスをリジェクト（拒否）するフィルタを作成．
+ # show status boot🆑
+ RTX1100 Rev.8.03.88 (Fri Mar  5 16:31:42 2010)
+ Rebooted by Address error [load/fetch](4)🈁
+ PC=80330f98  SP=81e13380  FP=81e13410  GP=80586730
+ SR=1000c003  CAUSE=10000010  BAD=814b09a7  LO=666667a8  HI=000000d6
+ $00=00000000  $01=80580000  $02=00000001  $03=80586734
+ $04=00000000  $05=81e13380  $06=00000001  $07=8124e5b8
+ $08=80379ba8  $09=81b1bec0  $10=81b1bec0  $11=4d5b1591
+ $12=00000000  $13=80586aac  $14=00000001  $15=8098d740
+ $16=00000003  $17=81b1be0c  $18=0000000f  $19=814b09a7
+ $20=8057e8e0  $21=81251a7c  $22=00000001  $23=81e13490
+ $24=80580000  $25=00000000  $26=8100f330  $27=80c75e94
+ $28=80586730  $29=81e13380  $30=81e13410  $31=80330f4c
+ Stack dump:
+  00000002 80d24dcc 00001000 8038df40 |......M......8.@
+a7c 00000003 0000001c 00000003 |.%.|............
+  00000003 00000001 8032fad8 8032f99c |.........2...2..
+dd98 5bd647b0 00000000 00000000 |....[.G.........
+  80580704 81e1343b 80580000 80580000 |.X....4;.X...X..
+  80580000 80b09a10 00000001 80b10000 |.X..............
+  00000004 c0a81401 00000001 8038e104 |.............8..
+  80580704 81e1343b 00000004 5bd647b0 |.X....4;....[.G.
+  00000033 80b09a10 00000001 8038ed2c |...3.........8.,
+  00000004 00000000 00000000 00000000 |................
+  00000000 00000000 00000000 00000000 |................
+  00000000 00000000 00000000 00000000 |................
+  00000000 00000000 00000000 00000000 |................
+  00000000 00000000 00000000 00000000 |................
+  00000000 00000000 00000000 00000000 |................
+  00000000 00000000 00000000 00000000 |................
+ #
- pp1# ip filter 2510 reject-log 183.60.48.25 * * * *
+　Rebooted by Address errorとでている．ファームウェアをアップデートするくらいしか方法がないかと考えてみたら，以下のような文書があった．
- pp1# ip filter 2511 reject-log 113.108.21.16 * * * *
- pp1#
-　ちゃんとリジェクトされたか確認するために，ログを残すようにreject-logとする．
-　そして，フィルタをセットする．
- pp1# pp select 1
+インターネットからの攻撃によるヤマハルーターのリブート等について |
- pp1# ip pp secure filter in 2510 2511 2000 2001 2098 2002 2003 2004 2005 2006 2007 2008 2009 2010 2099 dynamic 2100 2101 2102 2103 2104 2105 2106
+http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/attack-from-internet-201404.html
- pp1#
-　これでしらばく様子を見る．
+　一部引用．
-**数日経過してRejectedを確認 [#fc9700ee]
+ 最終変更日	2015/Jul/23
+ 文書サイズ	5.9K
+ インターネットからの攻撃によるヤマハルーターのリブート等について
+ 本情報は随時更新されます。最新情報にご注意ください。
+年4月8日から、インターネットに接続しているヤマハルーターが突然リブートしたり、
+ ハングアップしてインターネットに接続できなくなるなどの症状が報告されています。
-　タイトルの徹ですが，リジェクトを確認しました．これでフィルタが動作していることが確認できました．
+　なるほど．
- > show log reverse|grep 1723
+　ちなみに，restartコマンドで再起動した時は，次のように表示される．
-/10/21 09:53:38: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22203 > 203.141.135.21:1723
-/10/21 09:53:38: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22203 > 203.141.135.23:1723
-/10/21 09:53:38: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22203 > 203.141.135.19:1723
-/10/21 09:53:38: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22203 > 203.141.135.16:1723
-/10/21 09:53:38: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22203 > 203.141.135.20:1723
-/10/21 09:53:38: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22203 > 203.141.135.18:1723
-/10/21 09:53:38: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22203 > 192.168.0.1:1723
-/10/21 04:39:35: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22207 > 203.141.135.23:1723
-/10/21 04:39:35: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22207 > 203.141.135.21:1723
-/10/21 04:39:35: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22207 > 203.141.135.19:1723
-/10/21 04:39:35: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22207 > 203.141.135.18:1723
-/10/21 04:39:35: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22207 > 203.141.135.20:1723
-/10/21 04:39:35: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22207 > 203.141.135.22:1723
-/10/21 04:39:35: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22207 > 192.168.0.1:1723
-/10/20 23:25:44: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22200 > 203.141.135.21:1723
-/10/20 23:25:44: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22200 > 203.141.135.23:1723
-/10/20 23:25:44: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22200 > 203.141.135.19:1723
-/10/20 23:25:44: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22200 > 203.141.135.16:1723
-/10/20 23:25:44: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22200 > 203.141.135.18:1723
-/10/20 23:25:44: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22200 > 203.141.135.20:1723
-/10/20 23:25:44: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22200 > 192.168.0.1:1723
-/10/20 18:11:54: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22202 > 203.141.135.20:1723
-/10/20 18:11:54: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22202 > 203.141.135.16:1723
-/10/20 18:11:54: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22202 > 203.141.135.18:1723
-/10/20 18:11:54: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22202 > 192.168.0.1:1723
-/10/20 18:11:54: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22202 > 203.141.135.21:1723
-/10/20 18:11:54: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22202 > 203.141.135.19:1723
-/10/20 18:11:54: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22202 > 203.141.135.23:1723
-/10/20 12:57:56: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22207 > 203.141.135.21:1723
-/10/20 12:57:56: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22207 > 203.141.135.19:1723
-/10/20 12:57:56: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22207 > 203.141.135.20:1723
-/10/20 12:57:56: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22207 > 192.168.0.1:1723
-/10/20 12:57:56: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22207 > 203.141.135.16:1723
-/10/20 07:43:58: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22202 > 203.141.135.19:1723
-/10/20 07:43:58: PP[01] Rejected at IN(2511) filter: TCP 113.108.21.16:22202 > 192.168.0.1:1723
- >
-　これを見ていると，普通にIPアドレスの末尾を連番で接続してきているのがわかります．
+ # show status boot🆑
+ RTX1100 Rev.8.03.88 (Fri Mar  5 16:31:42 2010)
-**RTXへの1723ポートへの接続を過去ログをsyslogから調べてみる [#c9c4958a]
+ Restart by restart command🈁
+ #
-　RTX1100のログはsyslogサーバへ転送しているので，そのログからPPTPによるVPN(1723)へ接続してきているIPアドレスを調べる．
- ujp:log vpnserver$ grep ":1723" rtx.log|head
- May 14 14:01:18 203.141.135.17 PP[01] Passed at IN(2009) filte]: TCP 180.153.113.141:22207 > 192.168.0.1:1723
- May 14 14:01:19 203.141.135.17 PP[01] Passed at IN(2009) filte]: TCP 183.60.48.25:27519 > 192.168.0.1:1723
- May 15 05:10:21 203.141.135.17 PP[01] Passed at IN(2009) filte]: TCP 112.216.163.130:6000 > 192.168.0.1:1723
- May 15 16:42:05 203.141.135.17 PP[01] Passed at IN(2009) filte]: TCP 218.17.160.22:42861 > 192.168.0.1:1723
- May 16 14:01:23 203.141.135.17 PP[01] Passed at IN(2009) filte]: TCP 180.153.113.141:22208 > 192.168.0.1:1723
- May 16 14:01:23 203.141.135.17 PP[01] Passed at IN(2009) filte]: TCP 183.60.48.25:44856 > 192.168.0.1:1723
- May 16 17:32:57 203.141.135.17 PP[01] Passed at IN(2009) filte]: TCP 112.216.163.130:6000 > 192.168.0.1:1723
- May 17 21:32:36 203.141.135.17 PP[01] Passed at IN(2009) filte]: TCP 114.112.90.54:35337 > 192.168.0.1:1723
- May 17 21:32:37 203.141.135.17 PP[01] Passed at IN(2009) filte]: TCP 114.112.90.54:35337 > 192.168.0.1:1723
- May 17 21:32:38 203.141.135.17 PP[01] Passed at IN(2009) filte]: TCP 114.112.90.54:35337 > 192.168.0.1:1723
- ujp:log vpnserver$
-　source IPアドレスを取り出すために，次のようにコマンドを設定．
- ujp:log vpnserver$ grep ":1723" rtx.log|awk '{print $11}'|sed 's/:/ /g'|awk '{print $1}'|sort|uniq -c|sort -r
-183.60.48.25
-113.108.21.16
-91.214.71.176
-180.153.113.141
-37.46.105.40
-218.77.79.38
-61.160.224.129
-61.240.144.66
-61.240.144.65
-61.240.144.64
-61.240.144.67
-66.240.192.138
-42.120.142.221
-71.6.167.142
-71.6.135.131
-198.20.69.98
-92.247.120.50
-66.240.236.119
-71.6.165.200
-85.25.103.50
-14.17.35.181
-198.20.70.114
-42.156.250.110
-42.156.250.112
-42.156.250.111
-37.46.105.77
-42.120.142.220
-42.156.250.115
-42.120.142.223
-42.156.250.116
-42.156.250.113
-42.156.250.119
-160.249.228.226
-91.192.92.18
-160.249.248.137
-42.120.142.222
-42.156.250.117
-112.216.163.130
-93.120.27.62
-42.156.250.118
-42.156.250.114
-223.152.40.93
-223.152.208.143
-222.242.143.53
-93.174.93.68
-182.118.54.62
-182.118.53.149
-182.118.53.110
-114.112.90.54
-89.46.100.172
-82.221.105.6
-182.118.55.225
-182.118.54.88
-182.118.53.83
-182.118.53.120
-1.72.132.218
-222.107.91.130
-182.118.60.75
-182.118.60.57
-182.118.60.54
-182.118.55.144
-182.118.53.74
-182.118.45.250
-182.118.45.237
-150.255.118.88
-123.117.167.147
-122.226.102.84
-119.4.26.184
-112.80.138.35
-85.10.210.199
-61.55.208.115
-61.52.59.196
-61.52.50.145
-60.216.142.113
-60.216.140.18
-60.216.137.180
-60.208.164.245
-60.166.225.127
-60.16.15.219
-60.16.13.42
-60.16.1.75
-59.174.194.25
-59.174.194.181
-59.174.188.75
-59.174.188.19
-59.174.188.124
-58.243.229.40
-58.20.99.77
-58.20.99.232
-58.20.98.73
-58.20.98.202
-58.20.98.152
-58.19.1.199
-58.19.1.134
-58.19.0.80
-58.19.0.44
-49.74.81.136
-45.79.164.57
-42.92.129.95
-42.92.129.198
-36.44.99.141
-27.211.57.128
-27.211.179.63
-27.211.176.25
-27.10.76.243
-27.10.76.200
-27.10.73.165
-27.10.209.156
-222.94.97.34
-222.75.44.211
-222.75.38.105
-221.0.17.141
-220.200.25.254
-220.173.16.31
-220.169.18.75
-219.157.194.34
-219.157.193.54
-218.8.85.223
-218.58.34.35
-218.58.33.202
-217.12.204.104
-211.97.123.99
-211.97.123.86
-211.97.123.69
-211.97.123.18
-211.97.122.243
-211.138.245.224
-210.76.215.72
-210.76.194.2
-210.72.64.191
-188.138.9.50
-182.242.59.250
-182.118.60.83
-182.118.60.50
-182.118.55.159
-182.118.54.17
-182.118.45.229
-182.108.48.179
-180.109.226.40
-175.184.165.199
-175.184.160.99
-175.17.210.36
-175.17.207.106
-175.17.194.10
-175.12.104.148
-171.37.255.123
-171.37.252.38
-171.37.110.151
-171.37.108.106
-171.36.55.244
-171.36.53.76
-153.0.60.237
-150.255.22.238
-150.255.17.145
-14.104.191.70
-14.104.190.165
-14.104.189.27
-14.104.189.199
-14.104.187.67
-14.104.184.119
-139.212.96.214
-139.212.92.22
-125.76.92.26
-125.211.38.65
-125.211.38.221
-125.119.8.168
-124.90.53.224
-124.90.49.190
-124.90.48.126
-123.6.170.24
-123.6.161.177
-123.158.61.163
-123.139.23.68
-123.139.23.107
-123.139.21.15
-123.117.166.72
-123.117.165.68
-123.117.163.229
-122.96.17.218
-122.96.16.11
-122.96.130.207
-121.237.195.14
-121.237.192.58
-120.85.201.95
-120.32.70.44
-119.4.27.52
-119.4.24.45
-119.119.178.63
-119.108.158.16
-119.108.145.2
-118.81.6.145
-118.81.226.11
-118.250.141.99
-118.250.141.53
-116.114.73.249
-116.113.70.185
-115.200.236.87
-115.198.203.55
-114.97.87.250
-114.97.65.176
-114.96.165.62
-114.96.162.27
-114.221.19.131
-113.248.147.9
-113.135.99.137
-113.135.98.60
-112.80.211.55
-112.80.137.117
-112.67.214.129
-112.67.193.160
-112.66.85.203
-112.66.51.203
-112.66.28.22
-112.66.24.177
-112.193.88.15
-112.123.29.203
-112.117.16.17
-112.111.3.153
-112.111.1.249
-112.111.0.96
-112.111.0.76
-111.85.216.86
-111.85.216.59
-111.85.179.140
-111.162.153.231
-111.162.152.189
-111.162.142.161
-111.113.165.247
-110.84.209.25
-110.84.208.130
-110.84.203.102
-110.241.68.152
-110.240.175.225
-106.45.173.86
-101.68.4.31
-101.68.127.206
-101.68.126.59
-101.24.55.183
-1.31.59.58
-1.31.57.240
-91.224.160.18
-66.154.119.132
-64.34.253.40
-60.248.138.219
-59.15.16.105
-222.98.225.248
-218.17.160.22
-211.241.133.40
-210.205.0.249
-209.183.219.246
-188.138.1.218
-182.118.60.87
-182.118.60.63
-182.118.60.56
-182.118.60.48
-182.118.60.37
-182.118.60.19
-182.118.60.15
-182.118.60.14
-182.118.60.115
-182.118.55.240
-182.118.55.212
-182.118.55.210
-182.118.55.202
-182.118.55.200
-182.118.55.196
-182.118.55.185
-182.118.55.179
-182.118.55.175
-182.118.55.165
-182.118.55.161
-182.118.55.153
-182.118.55.147
-182.118.55.135
-182.118.55.114
-182.118.55.113
-182.118.54.86
-182.118.54.56
-182.118.54.54
-182.118.54.21
-182.118.54.19
-182.118.54.12
-182.118.54.115
-182.118.54.114
-182.118.54.109
-182.118.54.102
-182.118.53.99
-182.118.53.86
-182.118.53.81
-182.118.53.70
-182.118.53.52
-182.118.53.37
-182.118.53.252
-182.118.53.235
-182.118.53.225
-182.118.53.218
-182.118.53.213
-182.118.53.207
-182.118.53.201
-182.118.53.200
-182.118.53.194
-182.118.53.168
-182.118.53.150
-182.118.53.143
-182.118.53.138
-182.118.53.132
-182.118.53.106
-182.118.53.101
-182.118.45.245
-182.118.45.217
-171.13.14.51
-171.13.14.3
-171.13.14.29
-159.226.134.253
-113.17.173.12
-112.123.27.200
-107.178.109.9
-101.226.179.84
-95.211.191.156
-94.102.49.207
-93.174.95.83
-93.174.93.235
-92.247.120.60
-89.40.71.152
-89.248.174.100
-89.248.169.35
-80.82.78.27
-80.82.65.59
-80.82.65.205
-80.82.64.68
-69.164.203.180
-66.154.119.29
-66.154.119.12
-66.154.119.11
-66.154.119.108
-64.34.251.53
-64.215.242.5
-60.21.167.126
-23.94.17.2
-217.71.50.2
-211.195.214.9
-211.186.255.122
-203.195.168.197
-202.74.40.117
-198.52.103.155
-198.12.86.74
-198.12.86.234
-195.211.154.157
-195.211.154.133
-192.74.249.136
-178.208.77.51
-125.220.140.248
-124.95.181.13
-123.140.204.6
-122.116.6.168
-121.225.246.214
-114.34.252.247
-112.216.55.162
-111.192.165.77
-107.151.195.229
- ujp:log vpnserver$
-　これでみると，183.60.48.25と113.108.21.16以外にも，沢山接続されていることがわかるので，これらをRejectしていく．これでみるとトップ４は全部中国だ．
-**さらにログを集計してdrop対象を絞り込む [#yfa08d5f]
-　IPアドレスの第２クォートで集計してみる．
- ujp:log vpnserver$ grep ":1723" rtx.log|awk '{print $11}'|sed 's/:/ /g'|awk '{print $1}'|sed 's/\./ /g'|awk '{print $1"." $2".*.*"}'|sort|uniq -c|sort -r|more
-183.60.*.*
-61.240.*.*
-113.108.*.*
-91.214.*.*
-180.153.*.*
-182.118.*.*
-37.46.*.*
-42.156.*.*
-218.77.*.*
-61.160.*.*
-71.6.*.*
-42.120.*.*
-66.240.*.*
-198.20.*.*
-92.247.*.*
-160.249.*.*
-85.25.*.*
-14.17.*.*
-14.104.*.*
-59.174.*.*
-58.20.*.*
-211.97.*.*
-223.152.*.*
-91.192.*.*
-123.117.*.*
-58.19.*.*
-27.10.*.*
-171.37.*.*
-112.66.*.*
-112.111.*.*
-150.255.*.*
-119.4.*.*
-112.80.*.*
-112.216.*.*
-60.216.*.*
-60.16.*.*
-27.211.*.*
-175.17.*.*
-124.90.*.*
- ujp:log vpnserver$
-　これでトップ10を出してみる．
- ujp:log vpnserver$ grep ":1723" rtx.log|awk '{print $11}'|sed 's/:/ /g'|awk '{print $1}'|sed 's/\./ /g'|awk '{print $1"." $2".*.*"}'|sort|uniq -c|sort -r|head -n 10
-183.60.*.*
-61.240.*.*
-113.108.*.*
-91.214.*.*
-180.153.*.*
-182.118.*.*
-37.46.*.*
-42.156.*.*
-218.77.*.*
-61.160.*.*
- ujp:log vpnserver$
-　この不正アクセスしてきているIPアドレスのトップ10について，whoisコマンドでどの国の所属か確認してみる．
- MBA2011:~ ujp$ whois 183.60.0.0|grep country
- country:        CN
- country:        CN
- MBA2011:~ ujp$ whois 61.240.0.0|grep country
- country:        CN
- country:        CN
- MBA2011:~ ujp$ whois 113.108.0.0|grep country
- country:        CN
- country:        CN
- country:        CN
- MBA2011:~ ujp$ whois 91.214.0.0|grep country
- country:        PL
- MBA2011:~ ujp$ whois 180.153.0.0|grep country
- country:        CN
- country:        CN
- MBA2011:~ ujp$ whois 182.118.0.0|grep country
- country:        CN
- country:        CN
- country:        CN
- country:        CN
- MBA2011:~ ujp$ whois 37.46.0.0|grep country
- country:        GB
- MBA2011:~ ujp$ whois 42.156.0.0|grep country
- country:        CN
- country:        CN
- country:        CN
- MBA2011:~ ujp$ whois 218.77.0.0|grep country
- country:        CN
- country:        CN
- country:        CN
- MBA2011:~ ujp$ whois 61.160.0.0|grep country
- country:        CN
- country:        CN
- country:        CN
- country:        CN
- MBA2011:~ ujp$
-　CNは中国ですが，GBはグレートブリテン，つまりイギリス．そしてPLはポーランド．
-**ブロックするIPアドレスを決定する [#q1fdca8d]
-　ブロックするIPアドレスを多くすれば制度はあがるがFirewallのCPU負荷が高くなるので，ルール設定を最小にしてみることを考える．まずはIPアドレスだけで個数を確認する．トップ10だけとしている．
- ujp:log vpnserver $ grep ":1723" rtx.log|awk '{print $11}'|sed 's/:/ /g'|awk '{print $1}'|sort|uniq -c|sort -r|head -n 10
-183.60.48.25
-113.108.21.16
-91.214.71.176
-180.153.113.141
-37.46.105.40
-218.77.79.38
-61.160.224.129
-61.240.144.66
-61.240.144.65
-61.240.144.64
- ujp:log vpnserver $
-　ここでは61.240.*.*が３行ほどでているので，これはまとめることとする．
-**RTX1100でフィルタを設定する [#mfd3af79]
-　これまで調べたIPアドレスのトップ10をブロックしてみる．
- # ip filter 2512 reject 91.214.71.176 * * * *
- # ip filter 2513 reject 180.153.113.141 * * * *
- # ip filter 2514 reject 37.46.105.40 * * * *
- # ip filter 2515 reject 218.77.79.38 * * * *
- # ip filter 2516 reject 61.160.224.129 * * * *
- # ip filter 2517 reject 61.240.*.* * * * *
- # ip filter 2518 reject 182.118.*.* * * * *
- # pp select 1
- pp1# ip pp secure filter in 2510 2511 2512 2513 2514 2516 2517 2518 2000 2001 2098 2002 2003 2004 2005 2006 2007 2008 2009 2010 2099 dynamic 2100 2101 210
-2103 2104 2105 2106
- pp1# save
- Saving ... CONFIG1 Done .
- pp1#
-　またこれでしばらく様子を見てみる．

YAMAHA/RTX/show_status_boot のバックアップ一覧
YAMAHA/RTX/show_status_boot のバックアップの現在との差分(No. All)
- 1: 2017-12-03 (日) 01:48:59 nobuaki
- 2: 2017-12-03 (日) 02:07:31 shinnai

Counter: 3706, today: 2, yesterday: 4

show status bootで起動情報を確認する! のバックアップの現在との差分(No.1)