dovecot攻撃している輩はこのIPだ!

 今日サーバのサービスfail2banからメールが届いていました。

The IP 50.104.153.226 has just been banned by Fail2Ban after
3 attempts against dovecot.
Here are more information about 50.104.153.226:

Regards,

Fail2Ban

3回認証を間違えたのでIPを遮断したという内容です。

ログを確認してみます。

# cat /var/log/secure

May 26 16:48:20 mini2 auth: pam_succeed_if(dovecot:auth): error retrieving information about user admin
May 26 16:48:34 mini2 auth: pam_unix(dovecot:auth): check pass; user unknown
May 26 16:48:34 mini2 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=test rhost=50.104.153.226
May 26 16:48:34 mini2 auth: pam_succeed_if(dovecot:auth): error retrieving information about user test
May 26 16:48:47 mini2 auth: pam_unix(dovecot:auth): check pass; user unknown
May 26 16:48:47 mini2 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=admin rhost=50.104.153.226
May 26 16:48:47 mini2 auth: pam_succeed_if(dovecot:auth): error retrieving information about user admin
May 26 16:48:50 mini2 auth: pam_unix(dovecot:auth): check pass; user unknown
May 26 16:48:50 mini2 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=test rhost=50.104.153.226

userはadminとtestで認証しようとしていました。まぁ辞書攻撃ですね。

腹がたつのでこのIPをdigコマンドで調べてみました。

#dig 50.104.153.226

<<>> DiG 9.7.3-P3-RedHat-9.7.3-8.P3.el6_2.2 <<>> 50.104.153.226
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 35958
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;50.104.153.226.                        IN      A

;; AUTHORITY SECTION:
.                       10800   IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2012052600 1800 900 604800 86400

どうやら海外の模様。

きっと他のサーバーも攻撃しているでしょう。

前と違うIPで来ているところを見ると固定IPではなく、ADSLなど使用している率が高いのではないでしょうか。

今度来たらまた載せて(公開して)あげますね。

コメント

コメント(1)

  1. きんさん on

    調べてみた。

    UNITED STATES NEW YORK ROCHESTER
    ドメイン名 frontiernet.net
    登録者情報 Frontier Communications
    Domain Admin ()
    連絡先 Frontier Communications
    Domain Admin ()
    +1.8664747662
    Fax:95 N. Fitzhugh St.
    Rochester, NY 14614-1212
    US
    技術連絡先 Frontier Communications
    Domain Admin ()
    +1.8664747662
    Fax: 95 N. Fitzhugh St.
    Rochester, NY 14614-1212
    US
    ネームサーバ
    AUTH.DLLS.PA.FRONTIERNET.NET
    AUTH.LKVL.MN.FRONTIERNET.NET
    AUTH.ROCH.NY.FRONTIERNET.NET
    CREATION DATE: 14 OCT 1995 04:00:00
    EXPIRATION DATE: 13 OCT 2012 04:00:00
    登録年月日 14 OCT 1995 04:00:00
    14-OCT-1995
    有効期限 13 OCT 2012 04:00:00
    13-OCT-2012

    返信

コメントする