トレンドマイクロからの迷惑アクセスへ対処できるかな?

トレンドマイクロからの迷惑アクセスへ対処できるかな?

- Dover Kimiko の投稿
返信数: 2

JOGへ接続しているOpensimのRegionサーバーへ、トレンドマイクロの調査BOTの異常接続が目立つようになりました。

対象ポートはOpenSimのために解放しているのですが、ufwがブロックしています。

たぶん、「limit: avg 3/min burst 10 LOG」でブロックしているのだとおもいます。

このままだとufw.logがいつも記載・追記されますので、他の異常接続検知には不都合です。

そこで、入口で拒絶するようにしました。

ufw deny from 150.70.0.0/16 to any port 9010

 

さて、うまくいくかな~~?

 

Dover Kimiko への返信

Re: トレンドマイクロからの迷惑アクセスへ対処できるかな?

- Dover Kimiko の投稿

昨日の「ufwで明示的にアクセスを拒否」作戦は失敗です。アクセスは拒絶できているのですが、ufw.logに[UFW BLOCK]の記録が書き込まれてしまいます。

本来の対策目的は、トレンドマイクロの迷惑アクセスを拒絶して、ufw.logやlogwatchレポートを見やすくすることでした。

そこで、ルーターのパケットフィルターで拒絶するようにしてみました。

以下はルーター(バッファローBBR-4HG)のIPフィルターの設定です。

  動作: 「WAN」側からのパケットを「無視」

  宛先: (Lan内)すべて

  送信元:150.70.0.0/16  ← Botが使用しているIP一括で・

うまく動作するかな~?

 

Dover Kimiko への返信

Re: トレンドマイクロからの迷惑アクセスへ対処できるかな?

- Dover Kimiko の投稿

今朝ufw.logを見るとまたトレンドマイクロの迷惑アクセスをブロックした記録が6件出てきました。

昨日のIPフィルターが効いていません。

調べてみると、BBR-4HGの場合はアドレス変換を使用してポート開放すると、IPフィルタでの拒絶設定は無視されるとのこと。

Raspberry_Pi2、XS35、Bxbt2807の3台にポートを振り分けていますので、IPフィルターだけの使用に変更するのは相当に難しそうです。

しばらくはトレンドマイクロの迷惑Botを我慢するかな~?