「ハッカーからの着信を拒否するには」で紹介したように
最近ではプログラムによる機械的なアタックが増えていて
中には一晩で2万件ものアクセスを試みようとする攻撃もある。

また手作業でTELNETや5250エミュレータのサイン・オンを
しつこく試みる不心得者も多い。
残念なことに大半というかほとんどが中国からの
ハッキングである。
QSYSOPRには次のようなメッセージが多数表れる。

                               メッセージの処理                                
                                                          システム :   Sxxxxxxx
 メッセージのある場所 :   QSYSOPR                                              
                                                                               
 下のオプションを入力して，実行キーを押してください。                          
   5= 詳細および応答の表示                                                     
                                                                               
 OPT    メッセージ                                                             
          。理由コードは 2 です。                                              
        リモート・システム 218.63.72.113 への TCP/IP 接続がクローズされました  
          。理由コードは 2 です。                                              
        リモート・システム 218.63.72.113 への TCP/IP 接続がクローズされました  
          。理由コードは 2 です。                                              
        リモート・システム 218.63.72.113 への TCP/IP 接続がクローズされました  
          。理由コードは 2 です。                                              
        リモート・システム 218.63.72.113 への TCP/IP 接続がクローズされました  
          。理由コードは 2 です。                                              
        リモート・システム 218.63.72.113 への TCP/IP 接続がクローズされました  
          。理由コードは 2 です。                                              
        リモート・システム 218.63.72.113 への TCP/IP 接続がクローズされました  
                                                                       続く ...
 F1= ヘルプ    F3= 終了   F5= 最新表示   F12= 取り消し   F17= 最上部           
 F18= 最下部   F21= 援助レベルの選択     F22= リスト詳細の表示                 

またはQSYSOPRに次のようなメッセージが報告されていないだろうか?

サブシステム QINTER がワークステーション QPADEV01LD をオフに構成変更した。 
                                                               

これは自動装置構成を使ってハッカーが何度かサイン・オンを試みたが失敗したために
i5/OS が装置をオフにして使えなくしたものである。
かなり恐ろしい状況であったことを想像してみて欲しい。
QSECOFRのパスワードが簡単なものであったりしたら侵入されていたかも知れないのだ。
( ただし少し安心できるのは英語が一次環境でない限りは TELNET でIBM iに
　接続することはできない。日本語が一次環境のIBM iにはTELNETで接続することは
できない。英語が一次である場合は要注意! )

そこで中国からのIPアドレスを拒否するようにすれば
大半というか100%近くの攻撃を防ぐことができる。

方法は「ハッカーからの着信を拒否するには」で紹介した
中国からのIPアドレスをすべて拒否してしまうことである。

これでHTTPサーバーへのアタックだけでなく5250エミュレータへの
攻撃もシャット・アウトすることができて
QSYSOPRメッセージには何も現れなくなって実に静かである。
グローバルIPでインターネットに公開しているとTELNET(=5250エミュレータ)の
PORT番号も空いていることを嗅ぎつけてよからぬハッカーが
手動でサイン・オンを試みる。
これはサイン・オン画面になる前をも拒否してしまう防御であるので
ハッカーは自分のPCにサイン・オン画面すら表示することが
できなくなってしまう。
( 2020/06/15現在 QSYSOPRへのアタック報告件数はゼロになった。)

前にも紹介したがIBM iにPHPサーバーを立てることは
ハッカーに招待状を送っているようなものである。
IBM iにPHPサーバーを立てるなどは自殺行為もよいところで
ハッカーのターゲットはほとんどがPHPであることを忘れてはならない。
これは弊社のIBM iへもPHPと仮定して接続を試みようとする
ハッカーからの受信が数多くQSYSOPRに報告されているからである。
くれぐれも重ねて警告するがIBM iにPHPを導入してはならない。
おまけにPHPはZENDの保守料が高額なので途中で辞めるユーザーが
後を絶たない。

さて、その中国のIPアドレスは次のとおりであるが
量が多いので弊社のIBM iのIFSに配置するには危険があるので
行わなかったが iSeriesナビゲータに登録すれば
中国からのハッカーのアクセスを拒否する効果がある。

このWordPressの表示するかまたはコピーできなかった人で
中国のIPアドレスを希望される方は弊社まで
会社名、部署名、氏名を明記してご連絡して頂ければ
無償で拒否すへき中国のIPアドレスの一覧をテキスト型式で
お送りする。(gmail, yahooなどの個人アドレスは不可)

希望者はこちらまで

拒否する中国のIPアドレス

FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 211.190.224.0/19  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 217.78.112.0/20  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 193.135.224.0/20  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 211.232.192.0/18  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 103.28.64.0/22  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 193.135.56.0/23  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 103.51.176.0/22  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 211.36.192.0/19  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 212.60.32.0/19  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 31.133.128.0/18  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 152.149.128.0/17  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 91.217.128.0/24  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 103.54.72.0/22  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 162.21.0.0/16  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 61.106.224.0/20  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 185.238.12.0/22  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
FILTER SET QTR   ACTION = DENY   DIRECTION = INBOUND   SRCADDR = 194.56.233.0/24  DSTADDR = *  PROTOCOL = *   DSTPORT = *   SRCPORT = *   JRN = OFF
     :
     :
  (以下省略)
     :

この数が多い場合は弊社の公開Ver5.4のQSYSOPRに報告されている不審なIPアドレスは
次のとおりである。これらを拒否するだけでも大変効果があるはずである。

218.63.72.113
162.243.144.104
59.16.61.230
91.194.190.45
178.174.176.35
88.247.79.161
51.83.66.171
195.49.186.210
183.100.60.9
221.144.169.193
111.250.71.144
222.113.84.205
162.243.144.201
93.40.11.165
117.92.121.212
121.191.95.168
84.51.60.137
99.79.68.141
58.53.187.4

弊社ではIBM i Ver6.1をグローバル公開しているがこれで海外からのハッカーのアクセスは
ピタリと停止した。(さらに夜間はHTTPサーバーを停するようにした。)