2013年12月01日
このエントリーをはてなブックマークに追加
さて、最近僕の環境では SMTP がらみのトラブルがちょくちょく起きています。
特に、パスワードのブルートフォースアタック(総当たり攻撃)などで、アカウントを乗っ取られてしまうのです。

簡単なパスワードはダメ!絶対。

僕がメインで運用している環境のサーバーは、ログの状況なども含めて問題無く解析することができます。
しかしたまに触るぐらいの環境もあって、そこではあまりちゃんと解析したことはありませんでした。

ということで、そこは Dovecot 環境であったため、どのようにログが出るのか試してみました。

■POP3アクセス
・ユーザー名がダメな場合(メールアドレスやユーザーが存在していないとき)
/var/log/secure ※secure ログに出ていました。
Dec XX XX:XX:XX XXX dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown
Dec XX XX:XX:XX XXX dovecot-auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser= rhost=::ffff:XXX.XXX.XXX.XXX

・ユーザー名が存在し、パスワードエラーの場合
/var/log/secure ※secure ログに出ていました。
Dec XX XX:XX:XX XXX dovecot-auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser= rhost=::ffff:XXX.XXX.XXX.XXX user=USERNAME

上記ログと同時に maillog にも出ていました。
Dec XX XX:XX:XX XXX dovecot: pop3-login: Aborted login: user=, method=PLAIN, rip=::ffff:XXX.XXX.XXX.XXX, lip=::ffff:XXX.XXX.XXX.XXX

■SMTP-AUTHアクセス
maillog への出力
Dec XX XX:XX:XX XXX postfix/smtpd[3625]: connect from XXX.XXX.XXX.XXX[XXX.XXX.XXX.XXX]
Dec XX XX:XX:XX XXX postfix/smtpd[3625]: NOQUEUE: reject: RCPT from XXX.XXX.XXX.XXX[XXX.XXX.XXX.XXX]: 554 5.7.1 : Client host rejected: Access denied; from= to= proto=ESMTP helo=<[XXX.XXX.XXX.XXX]>

以上のことから、
SMTP-AUTH のブルートフォースについては、maillog の "Client host rejected: Access denied" をキーに検索。
POP3 アクセスの場合には、maillog の "Aborted login" もしくは secure ログの "authentication failure" で検索すればOKです。

※しかしながら、サービス監視が働いている場合に、上記ログが出るようです。そのIPアドレスは除外する必要がありますね。


stock_value at 13:18│Comments(3)技術:2013年 

この記事へのコメント

1. Posted by ��惺���� 悽惶��惶��   2024年06月10日 18:52
惡�� 惺����悋�� ��擧 ��悋惆惘 惡悋 ��慍惆��擧 愆惆�� 惡�� ��惶�� 悋��惠忰悋��悋惠 惆愃惆愃�� 拆��惆悋擧惘惆�� ��惺���� 悽惶��惶�� 惘�� 惆悋愆惠�� 擧�� 惡悋 悽����惆�� 悋���� ����悋���� 惆愃惆愃�� 悋�� 惡惘愀惘�� 愆惆
2. Posted by Apuestas de f�Tbol   2024年06月11日 09:35
3 Aquella fundamental y primaria utensilio para jugar en eventos deportivos es una empresa de apuestas.
En numerosos los casos, aquellas jugadas se hacen de
manera a distancia. Actualmente, existen muchas ocasiones para llevar
a cabo apuestas de f�tbol a por medio de cierta app o en aquel
sitio web de cierta compa骰a de apuestas. Se puede descubrir una lista total de aquellas operadoras de apuestas con autorizaci�n en Espa�a y la naci�n mexicana en aquellas p�ginas de este servicio.

Nunca tiene raz�n intervenir con cierto corredor de apuestas https://telegra.ph/Euro-2024-UEFA---Apuestas-de-f%C3%BAtbol-06-10 no autorizado:
definitivamente no se descubrir�n superiores ganancias, y aquel peligro vinculado de perder dinero al toparse con timadores aumenta
de forma exponencial. Tras elegir una empresa de apuestas con licencia apropiada, es preciso emplear medios auxiliares extra destinadas
al jugador. Analicemos algunas aquellas
muy frecuentes.
3. Posted by Brilliant Clean B�roreinigung   2024年06月14日 17:34
1 Lassen Sie uns f�r Sie die Arbeit erledigen! Unsere Reinigungsfirma in Innsbruck bietet Ihnen professionelle Reinigungsdienste, die auf Ihre Bed�rfnisse zugeschnitten sind.

Mit unserem erfahrenen Team und modernsten Reinigungstechniken garantieren wir
Ihnen beste Ergebnisse. Kontaktieren Sie uns noch heute f�r eine saubere L�sung.

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔