システム管理メモ

システム管理はいつも泥沼。

深夜に停電発生して、IPアドレスが変わると・・・

本日のAM3時過ぎ、停電が発生。
多分、豪雨と暴風のせいでしょう。自然相手に文句を言っても仕方ないのですが、時間ロスのダメージが大きい。

公開サーバーは、自動 fsck が掛かって無事に復旧。その他、モデム、ルーター、HUB、Windows、Macなどが全部落ちてしまったので、これらを全部復旧させて先程ようやく動作確認が終わったところ。幸い壊れた物は無かったみたいだけど、録画中だったビデオが、当然、録画失敗していました。残念。

副作用が他にもあって、ISPからダイナミックIPアドレスを割り当てられている一台のルーターが再起動によりIPアドレスが変わってしまった。動作確認のために、syslog をチェックしてみて怪しいアクセスに気付いた。

UDP Port 54798 への2〜3秒おきの連続アクセスが記録され始めたのだ。つまり、私が使う前にこのIPアドレスを使っていて、何らかのプロトコルが確立していたものが通信切断され、たまたま次に割り振られたのが私のルーターになってしまったと考えられる。当然、全部ブロックしています。

Oct 23 13:05:12 vyatta kernel:IN=pppoe1 OUT= MAC= SRC=60.52.48.151 DST=222.231.79.250 LEN=137 TOS=0x00 PREC=0x00 TTL=115 ID=2556 DF PROTO=UDP SPT=91 DPT=54798 LEN=117 
Oct 23 13:05:14 vyatta kernel:IN=pppoe1 OUT= MAC= SRC=60.52.48.151 DST=222.231.79.250 LEN=137 TOS=0x00 PREC=0x00 TTL=115 ID=2572 DF PROTO=UDP SPT=91 DPT=54798 LEN=117 
Oct 23 13:05:17 vyatta kernel:IN=pppoe1 OUT= MAC= SRC=60.52.48.151 DST=222.231.79.250 LEN=137 TOS=0x00 PREC=0x00 TTL=115 ID=2585 DF PROTO=UDP SPT=91 DPT=54798 LEN=117 
Oct 23 13:05:19 vyatta kernel:IN=pppoe1 OUT= MAC= SRC=60.52.48.151 DST=222.231.79.250 LEN=137 TOS=0x00 PREC=0x00 TTL=115 ID=2600 PROTO=UDP SPT=91 DPT=54798 LEN=117 
Oct 23 13:05:22 vyatta kernel:IN=pppoe1 OUT= MAC= SRC=60.52.48.151 DST=222.231.79.250 LEN=137 TOS=0x00 PREC=0x00 TTL=115 ID=2619 PROTO=UDP SPT=91 DPT=54798 LEN=117 
Oct 23 13:05:24 vyatta kernel:IN=pppoe1 OUT= MAC= SRC=60.52.48.151 DST=222.231.79.250 LEN=137 TOS=0x00 PREC=0x00 TTL=115 ID=2632 PROTO=UDP SPT=91 DPT=54798 LEN=117 
Oct 23 13:05:27 vyatta kernel:IN=pppoe1 OUT= MAC= SRC=60.52.48.151 DST=222.231.79.250 LEN=137 TOS=0x00 PREC=0x00 TTL=115 ID=2645 DF PROTO=UDP SPT=91 DPT=54798 LEN=117

送信元IPアドレスの 60.52.48.151 をチェックしてみると、nslookup の逆引きが登録されていない。whois で調べて見ると、マレーシアのプロバイダーのようだ。おそらく個人向けのサービスでしょう。

inetnum: 60.48.0.0 - 60.54.255.255
netname: XDSLSTREAMYX
descr: Telekom Malaysia Berhad
descr: Network Strategy
descr: Wisma Telekom
descr: Jalan Pantai Baru
descr: 50672 Kuala Lumpur
country: MY

私が利用しているプロバイダーは中国電力系のMegaEgg で個人向けサービスなので、前に使っていたユーザーがマレーシアとPort 54798 でUDP通信を行うような必要性があるとは思えない。Port 54798 が使用されるサービスを検索しても、Xsan のファイルシステムアクセスくらいしか該当がない。その他考えられるのが、

P2P 通信
オンラインゲーム
音声通信サービスのコントロール信号
ウィルス感染のバックドア

これくらいだろうか。
普通の通信は、しばらく接続出来なければ諦めるので、半日以上しつこく通信を試みているということは、前ユーザーがバックドアに感染したPCを接続していたんじゃないかと勘ぐってしまう。外からのパケットは全部ブロックするので、安全上は問題なく、実質的な被害はパケットが多いのでロギングしている syslogファイルがすぐにいっぱいになってしまうこと。

一度セッションを切断して、別のIPアドレスを割り振ってもらおうかな〜？と考えているところ。

Updated: 2017/02/03 at 13:03

2012年10月
日	月	火	水	木	金	土
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

深夜に停電発生して、IPアドレスが変わると・・・

共有:

コメントを残すコメントをキャンセル