質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.48%

  • CentOS

    2778questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

  • Postfix

    270questions

    Postfixは、電子メールサーバソフトウェアで、 メールを配送するシステムMTAの一種です。

  • Dovecot

    70questions

    Dovecotとは、POPやIMAPサーバーを提供するMDA(メール配送エージェント)の一つです。

メールサーバーで怪しいログが出力される。

解決済

回答 3

投稿

  • 評価
  • クリップ 0
  • VIEW 555

yuki_90453

score 95

いつもお世話になっております。
先日、下記のようなログが出力されたのですが、何らかの攻撃をされているのでしょうか?
危険度、および対応すべきかどうかわかりません。

ご指摘お願い致します。

dovecot:
   Authentication Failures:
      support@example.com rhost=94.102.56.181 : 8 Time(s)
      abuse@example.com rhost=94.102.56.181 : 4 Time(s)
      accounts@example.com rhost=94.102.56.181 : 4 Time(s)
      admin@example.com rhost=94.102.56.181 : 4 Time(s)
      backup@example.com rhost=94.102.56.181 : 4 Time(s)
      camera@example.com rhost=94.102.56.181 : 4 Time(s)
      canon@example.com rhost=94.102.56.181 : 4 Time(s)
      conference@example.com rhost=94.102.56.181 : 4 Time(s)
      connect@example.com rhost=94.102.56.181 : 4 Time(s)
      copier@example.com rhost=94.102.56.181 : 4 Time(s)
      demo@example.com rhost=94.102.56.181 : 4 Time(s)
      fax@example.com rhost=94.102.56.181 : 4 Time(s)
      finance@example.com rhost=94.102.56.181 : 4 Time(s)
      general@example.com rhost=94.102.56.181 : 4 Time(s)
      guest@example.com rhost=94.102.56.181 : 4 Time(s)
      helpdesk@example.com rhost=94.102.56.181 : 4 Time(s)
      info@example.com rhost=94.102.56.181 : 4 Time(s)
      no-reply@example.com rhost=94.102.56.181 : 4 Time(s)
      noreply@example.com rhost=94.102.56.181 : 4 Time(s)
      office@example.com rhost=94.102.56.181 : 4 Time(s)
      postgres@example.com rhost=94.102.56.181 : 4 Time(s)
      postmaster@example.com rhost=94.102.56.181 : 4 Time(s)
      printer@example.com rhost=94.102.56.181 : 4 Time(s)
      reception@example.com rhost=94.102.56.181 : 4 Time(s)
      sales01@example.com rhost=94.102.56.181 : 4 Time(s)
      sales@example.com rhost=94.102.56.181 : 4 Time(s)
      scan@example.com rhost=94.102.56.181 : 4 Time(s)
      scanner@example.com rhost=94.102.56.181 : 4 Time(s)
      service@example.com rhost=94.102.56.181 : 4 Time(s)
      spam@example.com rhost=94.102.56.181 : 4 Time(s)
      test@example.com rhost=94.102.56.181 : 4 Time(s)
      user@example.com rhost=94.102.56.181 : 4 Time(s)
      webmaster@example.com rhost=94.102.56.181 : 4 Time(s)
      shipping@example.com rhost=94.102.56.181 : 3 Time(s)
      temp@example.com rhost=94.102.56.181 : 3 Time(s)
      test1@example.com rhost=94.102.56.181 : 3 Time(s)
      testmail@example.com rhost=94.102.56.181 : 3 Time(s)
      testtest@example.com rhost=94.102.56.181 : 3 Time(s)
      testuser@example.com rhost=94.102.56.181 : 3 Time(s)
      training@example.com rhost=94.102.56.181 : 3 Time(s)
      warehouse@example.com rhost=94.102.56.181 : 3 Time(s)
      xerox@example.com rhost=94.102.56.181 : 3 Time(s)
      n rhost=91.200.12.125 : 1 Time(s)
      ubnt@example.com rhost=94.102.56.181 : 1 Time(s)
   Unknown Entries:
      check pass; user unknown: 165 Time(s)
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

checkベストアンサー

+2

総当たり攻撃じゃないですかね?

ありがちなユーザー名とか使ってなければいいですが、念のためFail2banとかで弾きたいですね。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/02/13 14:06

    もし正しいユーザー名で攻撃されていた場合、どうなるのでしょうか?

    キャンセル

  • 2017/02/13 14:40

    んー、万が一にもユーザー名とパスワードの組み合わせが成功してしまったら、メール見放題ですかね。
    あとは有効なメールアドレスゲットだぜ!でspam送られ放題とか。
    メールアドレス悪用されてなりすましされちゃったりとか。

    有効なユーザー名と無効な場合とでエラーの出方が違うかは忘れてしまいましたが、もし違うようなら「ログイン失敗するけど、このユーザー名は実在しそうだな」なんてあたりをつけられるかもです。

    キャンセル

+1

プログラムとはなんの関係もない質問ですね。

dovecotなので、POP3やIMAP4のサーバーが攻撃されていることになります。
(攻撃と言っても公開されているサーバーに対してログインを試行しているだけですけどね)

IPアドレスからすると、Seychelles(セーシェル)からですね。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/02/13 14:05

    辞書アタックというやつなんでしょうか?
    Seychellesって場所なんですね。

    キャンセル

  • 2017/02/13 14:12

    そうですね。辞書攻撃でしょうね。
    ユーザーが合っていてもパスワードが合っていないと入れない訳ですから、単純なパスワードを使っていなければ問題ないとは思います。
    kanbeworksさんの仰っているように、Fail2Banを使って弾くといいですね。

    キャンセル

  • 2017/02/13 14:18

    なるほど、そうします。
    ファイヤウィールで国外からアクセスを拒否するというのは効果はあるんでしょうか?

    キャンセル

  • 2017/02/13 14:24 編集

    効果ありますよ。ほとんどが海外からですから。(たまに国内からもありますが、まれです)
    それが出来るならFail2Banは必要ないですね。

    キャンセル

-1

このようなログを見るのは、初めてですか?

不正アクセスを受けていると思われます。
94.102.56.181は、オランダのIPのようです。

職場等のセキュリティポリシーに従い、対応を取るべきかと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/02/13 14:03

    初めて見ます。個人のサーバーなので私が対応しないといけないのですが、防ぐ方法はあるのでしょうか?

    キャンセル

  • 2017/02/13 14:10

    サーバーの設置場所は、ご自宅ですか?それとも有料サーバーをご利用でしょうか?

    fierwallを設定するのが一般的かと思います。

    キャンセル

  • 2017/02/13 14:19

    有料サーバーです。VPSです。
    firewallでIPアドレスを拒否しても次々変えてくると思うのですが、他に対策はありますか?

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.48%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • CentOS

    2778questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

  • Postfix

    270questions

    Postfixは、電子メールサーバソフトウェアで、 メールを配送するシステムMTAの一種です。

  • Dovecot

    70questions

    Dovecotとは、POPやIMAPサーバーを提供するMDA(メール配送エージェント)の一つです。