質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.51%
Dovecot

Dovecotとは、POPやIMAPサーバーを提供するMDA(メール配送エージェント)の一つです。

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Postfix

Postfixは、電子メールサーバソフトウェアで、 メールを配送するシステムMTAの一種です。

Q&A

解決済

3回答

1768閲覧

メールサーバーで怪しいログが出力される。

yuki_90453

総合スコア326

Dovecot

Dovecotとは、POPやIMAPサーバーを提供するMDA(メール配送エージェント)の一つです。

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Postfix

Postfixは、電子メールサーバソフトウェアで、 メールを配送するシステムMTAの一種です。

0グッド

0クリップ

投稿2017/02/13 04:13

いつもお世話になっております。
先日、下記のようなログが出力されたのですが、何らかの攻撃をされているのでしょうか?
危険度、および対応すべきかどうかわかりません。

ご指摘お願い致します。

dovecot: Authentication Failures: support@example.com rhost=94.102.56.181 : 8 Time(s) abuse@example.com rhost=94.102.56.181 : 4 Time(s) accounts@example.com rhost=94.102.56.181 : 4 Time(s) admin@example.com rhost=94.102.56.181 : 4 Time(s) backup@example.com rhost=94.102.56.181 : 4 Time(s) camera@example.com rhost=94.102.56.181 : 4 Time(s) canon@example.com rhost=94.102.56.181 : 4 Time(s) conference@example.com rhost=94.102.56.181 : 4 Time(s) connect@example.com rhost=94.102.56.181 : 4 Time(s) copier@example.com rhost=94.102.56.181 : 4 Time(s) demo@example.com rhost=94.102.56.181 : 4 Time(s) fax@example.com rhost=94.102.56.181 : 4 Time(s) finance@example.com rhost=94.102.56.181 : 4 Time(s) general@example.com rhost=94.102.56.181 : 4 Time(s) guest@example.com rhost=94.102.56.181 : 4 Time(s) helpdesk@example.com rhost=94.102.56.181 : 4 Time(s) info@example.com rhost=94.102.56.181 : 4 Time(s) no-reply@example.com rhost=94.102.56.181 : 4 Time(s) noreply@example.com rhost=94.102.56.181 : 4 Time(s) office@example.com rhost=94.102.56.181 : 4 Time(s) postgres@example.com rhost=94.102.56.181 : 4 Time(s) postmaster@example.com rhost=94.102.56.181 : 4 Time(s) printer@example.com rhost=94.102.56.181 : 4 Time(s) reception@example.com rhost=94.102.56.181 : 4 Time(s) sales01@example.com rhost=94.102.56.181 : 4 Time(s) sales@example.com rhost=94.102.56.181 : 4 Time(s) scan@example.com rhost=94.102.56.181 : 4 Time(s) scanner@example.com rhost=94.102.56.181 : 4 Time(s) service@example.com rhost=94.102.56.181 : 4 Time(s) spam@example.com rhost=94.102.56.181 : 4 Time(s) test@example.com rhost=94.102.56.181 : 4 Time(s) user@example.com rhost=94.102.56.181 : 4 Time(s) webmaster@example.com rhost=94.102.56.181 : 4 Time(s) shipping@example.com rhost=94.102.56.181 : 3 Time(s) temp@example.com rhost=94.102.56.181 : 3 Time(s) test1@example.com rhost=94.102.56.181 : 3 Time(s) testmail@example.com rhost=94.102.56.181 : 3 Time(s) testtest@example.com rhost=94.102.56.181 : 3 Time(s) testuser@example.com rhost=94.102.56.181 : 3 Time(s) training@example.com rhost=94.102.56.181 : 3 Time(s) warehouse@example.com rhost=94.102.56.181 : 3 Time(s) xerox@example.com rhost=94.102.56.181 : 3 Time(s) n rhost=91.200.12.125 : 1 Time(s) ubnt@example.com rhost=94.102.56.181 : 1 Time(s) Unknown Entries: check pass; user unknown: 165 Time(s)

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

ベストアンサー

総当たり攻撃じゃないですかね?

ありがちなユーザー名とか使ってなければいいですが、念のためFail2banとかで弾きたいですね。

投稿2017/02/13 04:18

編集2017/02/13 04:22
kanbeworks

総合スコア829

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yuki_90453

2017/02/13 05:06

もし正しいユーザー名で攻撃されていた場合、どうなるのでしょうか?
kanbeworks

2017/02/13 05:40

んー、万が一にもユーザー名とパスワードの組み合わせが成功してしまったら、メール見放題ですかね。 あとは有効なメールアドレスゲットだぜ!でspam送られ放題とか。 メールアドレス悪用されてなりすましされちゃったりとか。 有効なユーザー名と無効な場合とでエラーの出方が違うかは忘れてしまいましたが、もし違うようなら「ログイン失敗するけど、このユーザー名は実在しそうだな」なんてあたりをつけられるかもです。
guest

0

プログラムとはなんの関係もない質問ですね。

dovecotなので、POP3やIMAP4のサーバーが攻撃されていることになります。
(攻撃と言っても公開されているサーバーに対してログインを試行しているだけですけどね)

IPアドレスからすると、Seychelles(セーシェル)からですね。

投稿2017/02/13 04:18

shi_ue

総合スコア4437

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yuki_90453

2017/02/13 05:05

辞書アタックというやつなんでしょうか? Seychellesって場所なんですね。
shi_ue

2017/02/13 05:12

そうですね。辞書攻撃でしょうね。 ユーザーが合っていてもパスワードが合っていないと入れない訳ですから、単純なパスワードを使っていなければ問題ないとは思います。 kanbeworksさんの仰っているように、Fail2Banを使って弾くといいですね。
yuki_90453

2017/02/13 05:18

なるほど、そうします。 ファイヤウィールで国外からアクセスを拒否するというのは効果はあるんでしょうか?
shi_ue

2017/02/13 05:24 編集

効果ありますよ。ほとんどが海外からですから。(たまに国内からもありますが、まれです) それが出来るならFail2Banは必要ないですね。
guest

0

このようなログを見るのは、初めてですか?

不正アクセスを受けていると思われます。
94.102.56.181は、オランダのIPのようです。

職場等のセキュリティポリシーに従い、対応を取るべきかと思います。

投稿2017/02/13 04:23

granfa_yuzo

総合スコア356

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yuki_90453

2017/02/13 05:03

初めて見ます。個人のサーバーなので私が対応しないといけないのですが、防ぐ方法はあるのでしょうか?
granfa_yuzo

2017/02/13 05:10

サーバーの設置場所は、ご自宅ですか?それとも有料サーバーをご利用でしょうか? fierwallを設定するのが一般的かと思います。
yuki_90453

2017/02/13 05:19

有料サーバーです。VPSです。 firewallでIPアドレスを拒否しても次々変えてくると思うのですが、他に対策はありますか?
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.51%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問