Logwatch on きょうのかんぱぱhttps://kanpapa.com/tags/logwatch.htmlRecent content in Logwatch on きょうのかんぱぱHugo -- gohugo.iojakanpapa.comSat, 19 Dec 2020 00:00:00 +0000Logwatchの仕様変更からWebサーバへの攻撃増加を知るhttps://kanpapa.com/2020/12/logwatch-web-report.htmlSat, 19 Dec 2020 00:00:00 +0000https://kanpapa.com/2020/12/logwatch-web-report.html<img src="https://kanpapa.com/2020/12/logwatch-web-report/images/logwatch_report.png" alt="Featured image of post Logwatchの仕様変更からWebサーバへの攻撃増加を知る" /><p>現在このWebサーバをCentOS 8.1からUbuntu 20.04へ移行中です。</p> <p>サーバの設定もほぼ完了したのでlogwatchというログを監査するパッケージを入れました。</p> <p><img alt="logwatch_report.png" class="gallery-image" data-flex-basis="481px" data-flex-grow="200" height="277" loading="lazy" sizes="(max-width: 767px) calc(100vw - 30px), (max-width: 1023px) 700px, (max-width: 1279px) 950px, 1232px" src="https://kanpapa.com/2020/12/logwatch-web-report/images/logwatch_report.png" width="556"></p> <p>CentOS 8.1ではLogwatch 7.4.3 (04/27/16)を使っていました。毎日、Webサーバーのログを解析して、次のようにWebサーバのエラーレスポンスコードがレポートされるようになっていました。</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-fallback" data-lang="fallback"><span class="line"><span class="cl">Requests with error response codes 400 Bad Request null: 12 Time(s) /: 1 Time(s)  : </span></span></code></pre></div><p>このレポートをみると、外部からどのようなWebアクセス試行(攻撃?)があるのかがわかります。</p> <p>Ubuntu 20.04ではLogwatch 7.5.2 (07/22/19)にバージョンがあがったためか、これまでのようなエラーレスポンスコードがレポートされなくなってしまいました。</p> <p>Logwatchのソースをみたところ、HTTPのエラーレスポンスコードを表示する処理が変更されていて、詳細レベルがLow($detail=0)の場合はこの処理がスキップされるようになっていました。</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-fallback" data-lang="fallback"><span class="line"><span class="cl">## List error response codes#if (keys %needs_exam and ($detail or $a5xx_resp)) { print &#34;\nRequests with error response codes\n&#34;; : </span></span></code></pre></div><p>CentOS 8.1の古いLogwatch 7.4.3ではこのチェックがないので常にレポートされます。</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-fallback" data-lang="fallback"><span class="line"><span class="cl">## List error response codes#if (keys %needs_exam) { print &#34;\nRequests with error response codes\n&#34;; : </span></span></code></pre></div><p>logwatch.confで詳細レベルをHighやMidに設定することで、以前と同様なエラーレポートが出力され問題は解決したのですが、2016年の時点では許容できていたアクセス試行の回数が、2019年では許容できる量を超えてしまい、Lowでは表示しないように仕様が変更されてしまったわけです。</p> <p>インターネットに公開されているWebサーバに対する攻撃が増加しているのが、このようなところからも読み取れます。</p>