浅井です。
昨日から、ルーティングの設定が勝手に追加されてしまいます。もしや
進入されたかも・・と思って、snort,portsentryをインストールをして
みたところ下記のようなログが残りました。
portsentry[899]: attackalert: SYN/Normal scan from host:
XXX.98.XXX.141/XXX.98.XXX.141 to TCP port: 80
portsentry[899]: attackalert: Host XXX.98.XXX.141 has been blocked via
wrappers with string: "ALL: XXX.98.XXX.141"
portsentry[899]: attackalert: Host XXX.98.XXX.141 has been blocked via
dropped route using comman
d: "/sbin/route add -host XXX.98.XXX.141 gw 127.0.0.1"
portsentry[899]: attackalert: SYN/Normal scan from host:
XXX.98.XXX.141/XXX.98.XXX.141 to TCP port: 80
portsentry[899]: attackalert: Host: XXX.98.XXX.141/XXX.98.XXX.141 is
already blocked Ignoring
このログをリアルタイムで監視している最中にこのメッセージが表示された
とほぼ同時にルーティング設定に下記のような設定が追加されていました。
XXX.98.XXX.141 localhost.local 255.255.255.255 UGH 0 0 0 lo
これはかなりやばいのでしょうか?