ヘルプ
検索結果 : 「[k216」
攻撃遮断くん導入後、検知はできるにもかかわらず遮断ができない場合には、遮断方式に応じて以下の確認をお願いいたします。
※検知も失敗する場合はこちらを確認してください
■ iptables遮断
【確認事項】
(1) ご利用のファイアウォール機能が正しく動作しているか
CentOS 6(iptables)
# /etc/init.d/iptables status
CentOS 7(iptables)
# systemctl status iptables
CentOS 7(firewalld)
# systemctl status firewalld
CentOS 8(nftables)
# systemctl status nftables
(2) firewall-drop.shの内容が正しいか
firewall-drop.shがご利用のファイアウォール機能と合致しているかを確認してください。
<参照> 攻撃遮断くんインストール手順(Linux)
https://shadan-kun.com/ja/installation_linux
【問題が解決しない場合】
以下の情報をサポート窓口までご提供ください。
・事前準備
情報取得前(10分以内)にWEBサーバへ疑似攻撃を実施してください。
https://<お客様サイトドメイン>/cybersecuritycloud/waftest
・エージェント情報
/var/ossec/logs/ossec.log
/var/ossec/etc/ossec.conf
/var/ossec/etc/client.keys
/var/ossec/logs/active-responses.log
/var/ossec/active-response/bin/firewall-drop.sh
・ファイアウォールの状態
<コマンド例>
# iptables -nL > iptables_`date +%Y%m%d_%H%M%S`.txt
# firewall-cmd --get-active-zones > firewalld_`date +%Y%m%d_%H%M%S`.txt
# nft list ruleset > nftables_`date +%Y%m%d_%H%M%S`.txt
・サーバ構成
中間機器(LBやNAT)、CDNの有無
・ご利用のサーバ環境
(AWS、Azule、GCP、ニフクラ、さくら、楽天、IIJ等)
■modsecurity遮断
【確認事項】
(1) modsecurityはインストールされているか
<Apache>
# apachectl -M
※出力結果からモジュールを確認(「security2_module」等)
<Nginx>
# nginx -V
※出力結果からモジュールを確認(「--add-module=../modsecurity...」等)
(2) firewall-drop.shの内容が正しいか
/var/ossec/active-response/bin/firewall-drop.sh
「modsecurity.sh」の記載があるかを確認してください。
(3) modsecurity.shの内容が正しいか
/var/ossec/active-response/bin/modsecurity.sh
・mod_security.confのパスが正しいか
※ご利用環境によりパスやファイル名が異なります
・modsecurity.shに記載の再起動コマンドが正しいか
※modsecurity.shに記載した再起動コマンドが実際に動作するかを確認してください
【問題が解決しない場合】
以下の情報をサポート窓口までご提供ください。
・事前準備
情報取得前(10分以内)にWEBサーバへ疑似攻撃を実施してください。
https://<お客様サイトドメイン>/cybersecuritycloud/waftest
・エージェント情報
/var/ossec/logs/ossec.log
/var/ossec/etc/ossec.conf
/var/ossec/etc/client.keys
/var/ossec/logs/active-responses.log
/var/ossec/active-response/bin/firewall-drop.sh
/var/ossec/active-response/bin/modsecurity.sh
・modsecurityルールファイル
(例) /etc/httpd/conf.d/mod_security.conf
※環境により異なります(modsecurity.shに記載のファイルを取得ください)
・Apache(Nginx)のディレクトリリスト
(例) ls -alR /etc/httpd/ --time-style=long-iso > /tmp/ls_httpd`date +%Y%m%d_%H%M%S`.txt
(例) ls -alR /etc/init.d/nginx --time-style=long-iso > /tmp/ls_httpd`date +%Y%m%d_%H%M%S`.txt
※環境により異なります
・サーバ構成
中間機器(LBやNAT)、CDNの有無
・サーバ環境
(AWS、Azule、GCP、ニフクラ、さくら、楽天、IIJ等)
■ Windowsファイアウォール遮断
【確認事項】
Windowsファイアウォールが有効になっているかを確認してください。
【問題が解決しない場合】
以下の情報をサポート窓口までご提供ください。
・事前準備
情報取得前(10分以内)にWEBサーバへ疑似攻撃を実施してください。
https://<お客様サイトドメイン>/cybersecuritycloud/waftest
・エージェント情報
C:\Program Files (x86)\ossec-agent\ossec.conf
C:\Program Files (x86)\ossec-agent\ossec.log
C:\Program Files (x86)\ossec-agent\client.keys
C:\Program Files (x86)\ossec-agent\active-response\active-response.log
・Windowsファイアウォール情報
(例) netsh advfirewall show allprofiles > C:\firewall_profiles.txt
(例) netsh advfirewall firewall show rule name=all dir=in > C:\firewall_in-rule.txt