2013年12月01日
このエントリーをはてなブックマークに追加
さて、最近僕の環境では SMTP がらみのトラブルがちょくちょく起きています。
特に、パスワードのブルートフォースアタック(総当たり攻撃)などで、アカウントを乗っ取られてしまうのです。

簡単なパスワードはダメ!絶対。

僕がメインで運用している環境のサーバーは、ログの状況なども含めて問題無く解析することができます。
しかしたまに触るぐらいの環境もあって、そこではあまりちゃんと解析したことはありませんでした。

ということで、そこは Dovecot 環境であったため、どのようにログが出るのか試してみました。

■POP3アクセス
・ユーザー名がダメな場合(メールアドレスやユーザーが存在していないとき)
/var/log/secure ※secure ログに出ていました。
Dec XX XX:XX:XX XXX dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown
Dec XX XX:XX:XX XXX dovecot-auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser= rhost=::ffff:XXX.XXX.XXX.XXX

・ユーザー名が存在し、パスワードエラーの場合
/var/log/secure ※secure ログに出ていました。
Dec XX XX:XX:XX XXX dovecot-auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser= rhost=::ffff:XXX.XXX.XXX.XXX user=USERNAME

上記ログと同時に maillog にも出ていました。
Dec XX XX:XX:XX XXX dovecot: pop3-login: Aborted login: user=, method=PLAIN, rip=::ffff:XXX.XXX.XXX.XXX, lip=::ffff:XXX.XXX.XXX.XXX

■SMTP-AUTHアクセス
maillog への出力
Dec XX XX:XX:XX XXX postfix/smtpd[3625]: connect from XXX.XXX.XXX.XXX[XXX.XXX.XXX.XXX]
Dec XX XX:XX:XX XXX postfix/smtpd[3625]: NOQUEUE: reject: RCPT from XXX.XXX.XXX.XXX[XXX.XXX.XXX.XXX]: 554 5.7.1 : Client host rejected: Access denied; from= to= proto=ESMTP helo=<[XXX.XXX.XXX.XXX]>

以上のことから、
SMTP-AUTH のブルートフォースについては、maillog の "Client host rejected: Access denied" をキーに検索。
POP3 アクセスの場合には、maillog の "Aborted login" もしくは secure ログの "authentication failure" で検索すればOKです。

※しかしながら、サービス監視が働いている場合に、上記ログが出るようです。そのIPアドレスは除外する必要がありますね。


stock_value at 13:18│Comments(0)技術:2013年 

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔