さくらVPSでpostfix+dovecotという構成で、
メールサーバーを運用しています。
/var/log/secureを確認すると、
以下のようなログが大量にありました。
ログ情報はフェイク入れています。
━━━━━━━━━━━━━━━━━━
Sep 1 16:08:04 yh5-336-18294 auth: pam_unix(dovecot:auth): check pass; user unknown
Sep 1 16:08:04 yh5-336-18294 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=user01 rhost=193.189.116.67
Sep 1 16:08:04 yh5-336-18294 auth: pam_succeed_if(dovecot:auth): error retrieving information about user user01
Sep 1 16:10:57 yh5-336-18294 auth: pam_unix(dovecot:auth): check pass; user unknown
Sep 1 16:10:57 yh5-336-18294 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=user1 rhost=193.189.116.67
Sep 1 16:10:57 yh5-336-18294 auth: pam_succeed_if(dovecot:auth): error retrieving information about user user1
Sep 1 16:13:48 yh5-336-18294 auth: pam_unix(dovecot:auth): check pass; user unknown
Sep 1 16:13:48 yh5-336-18294 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=default rhost=193.189.116.67
Sep 1 16:13:48 yh5-336-18294 auth: pam_succeed_if(dovecot:auth): error retrieving information about user default
Sep 1 16:16:40 yh5-336-18294 auth: pam_unix(dovecot:auth): check pass; user unknown
Sep 1 16:16:40 yh5-336-18294 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=infoweb rhost=193.189.116.67
━━━━━━━━━━━━━━━━━━
これは攻撃を受けているということでしょうか。
またこれに対する対処方法はあるのでしょうか?
IPアドレスがわかるので、
このIPアドレスからのアクセスをファイヤーウォールで
はじくというのは思いつくのですが。
サーバー運用している方は、
こういったときにどういう対処をするかしりたいです。
よろしくお願いいたします。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/09/01 09:00
2015/09/02 00:52
2015/09/02 01:19
2015/09/02 05:17