質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

VPS

VPS(バーチャル・プライベート・サーバ)は、仮想化されたサーバをレンタルするサービスで、共有サーバでありながら専門サーバと同等の機能を果たします。物理的な専門サーバより安価で提供できるメリットがあります。

Q&A

1回答

6354閲覧

メールサーバーへの攻撃の対処方法

1nakaji

総合スコア187

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

VPS

VPS(バーチャル・プライベート・サーバ)は、仮想化されたサーバをレンタルするサービスで、共有サーバでありながら専門サーバと同等の機能を果たします。物理的な専門サーバより安価で提供できるメリットがあります。

0グッド

0クリップ

投稿2015/09/01 07:52

さくらVPSでpostfix+dovecotという構成で、
メールサーバーを運用しています。

/var/log/secureを確認すると、
以下のようなログが大量にありました。
ログ情報はフェイク入れています。

━━━━━━━━━━━━━━━━━━
Sep 1 16:08:04 yh5-336-18294 auth: pam_unix(dovecot:auth): check pass; user unknown
Sep 1 16:08:04 yh5-336-18294 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=user01 rhost=193.189.116.67
Sep 1 16:08:04 yh5-336-18294 auth: pam_succeed_if(dovecot:auth): error retrieving information about user user01
Sep 1 16:10:57 yh5-336-18294 auth: pam_unix(dovecot:auth): check pass; user unknown
Sep 1 16:10:57 yh5-336-18294 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=user1 rhost=193.189.116.67
Sep 1 16:10:57 yh5-336-18294 auth: pam_succeed_if(dovecot:auth): error retrieving information about user user1
Sep 1 16:13:48 yh5-336-18294 auth: pam_unix(dovecot:auth): check pass; user unknown
Sep 1 16:13:48 yh5-336-18294 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=default rhost=193.189.116.67
Sep 1 16:13:48 yh5-336-18294 auth: pam_succeed_if(dovecot:auth): error retrieving information about user default
Sep 1 16:16:40 yh5-336-18294 auth: pam_unix(dovecot:auth): check pass; user unknown
Sep 1 16:16:40 yh5-336-18294 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=infoweb rhost=193.189.116.67
━━━━━━━━━━━━━━━━━━

これは攻撃を受けているということでしょうか。

またこれに対する対処方法はあるのでしょうか?

IPアドレスがわかるので、
このIPアドレスからのアクセスをファイヤーウォールで
はじくというのは思いつくのですが。

サーバー運用している方は、
こういったときにどういう対処をするかしりたいです。

よろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

特定のIPからのみの攻撃はそのIPのみブロックするのが早いと思います。
ちなみにうちは不特定多数の国外の通信が多かったので下記URLを参考に日本以外遮断してます。
http://www.42ch.net/~shutoff/

投稿2015/09/01 08:37

takepon1026

総合スコア12

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

1nakaji

2015/09/01 09:00

ご回答ありがとうございます。 /etc/sysconfig/iptables に以下設定しました。 -A RH-Firewall-1-INPUT -s 193.189.116.67 -j DROP iptables -Lで確認すると、 DROP all -- 193.189.116.67.host.xxx.pl anywhere となっており、 sourceのIPアドレスにホスト名がついています。 これって正しい動作ですか? sourceはIPアドレスのみと思ったのですが。 何かわかれば教えていただけますと幸いです。
takepon1026

2015/09/02 00:52

iptables -Lで確認するとDNSで名前を引いてきます。 問題ありません。
TaichiYanagiya

2015/09/02 01:19

iptables のルールの順序を確認してください。DROP が ACCEPT より先にあること。
1nakaji

2015/09/02 05:17

>takepan1026様 自動的に引いてくるんですね。 勉強になりました。 >TaichiYanagiya なるほど、記述順序も重要で、 先にACCEPTがあると、 それが適用されるんですね。 いつもありがとうございます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問