毎日暑い日が続いています。
仕事が終わり帰って来ても、何もやる気が起きません。
でもサーバーのログチェックは毎日欠かさずやらなければなりません。
とりあえずlogwatchで昨日の状況を確認してみました。
すると・・・・・
dovecot:
Authentication Failures:
abc rhost=194.75.49.235 : 2 Time(s)
albany rhost=194.75.49.235 : 2 Time(s)
christy rhost=194.75.49.235 : 2 Time(s)
cornelius rhost=194.75.49.235 : 2 Time(s)
einstein rhost=194.75.49.235 : 2 Time(s)
marketing rhost=194.75.49.235 : 2 Time(s)
albert rhost=194.75.49.235 : 1 Time(s)
alicia rhost=194.75.49.235 : 1 Time(s)
alisa rhost=194.75.49.235 : 1 Time(s)
allison rhost=194.75.49.235 : 1 Time(s)
amorphous rhost=194.75.49.235 : 1 Time(s)
amy rhost=194.75.49.235 : 1 Time(s)
angie rhost=194.75.49.235 : 1 Time(s)
anita rhost=194.75.49.235 : 1 Time(s)
anna rhost=194.75.49.235 : 1 Time(s)
anne rhost=194.75.49.235 : 1 Time(s)
arlene rhost=194.75.49.235 : 1 Time(s)
badass rhost=194.75.49.235 : 1 Time(s)
bailey rhost=194.75.49.235 : 1 Time(s)
barbara rhost=194.75.49.235 : 1 Time(s)
barber rhost=194.75.49.235 : 1 Time(s)
baritone rhost=194.75.49.235 : 1 Time(s)
bassoon rhost=194.75.49.235 : 1 Time(s)
batch rhost=194.75.49.235 : 1 Time(s)
becky rhost=194.75.49.235 : 1 Time(s)
berkeley rhost=194.75.49.235 : 1 Time(s)
betsie rhost=194.75.49.235 : 1 Time(s)
betty rhost=194.75.49.235 : 1 Time(s)
bishop rhost=194.75.49.235 : 1 Time(s)
cardinal rhost=194.75.49.235 : 1 Time(s)
caren rhost=194.75.49.235 : 1 Time(s)
carole rhost=194.75.49.235 : 1 Time(s)
cathy rhost=194.75.49.235 : 1 Time(s)
chen rhost=194.75.49.235 : 1 Time(s)
collins rhost=194.75.49.235 : 1 Time(s)
daemon: 1 Time(s)
erica rhost=194.75.49.235 : 1 Time(s)
gao rhost=194.75.49.235 : 1 Time(s)
gina rhost=194.75.49.235 : 1 Time(s)
golf rhost=194.75.49.235 : 1 Time(s)
guo rhost=194.75.49.235 : 1 Time(s)
hamlet rhost=194.75.49.235 : 1 Time(s)
huang rhost=194.75.49.235 : 1 Time(s)
informix rhost=194.75.49.235 : 1 Time(s)
kerrie rhost=194.75.49.235 : 1 Time(s)
key rhost=194.75.49.235 : 1 Time(s)
kristen rhost=194.75.49.235 : 1 Time(s)
kristie rhost=194.75.49.235 : 1 Time(s)
kristin rhost=194.75.49.235 : 1 Time(s)
lambda rhost=194.75.49.235 : 1 Time(s)
lara rhost=194.75.49.235 : 1 Time(s)
larry rhost=194.75.49.235 : 1 Time(s)
leland rhost=194.75.49.235 : 1 Time(s)
li rhost=194.75.49.235 : 1 Time(s)
linda rhost=194.75.49.235 : 1 Time(s)
lisa rhost=194.75.49.235 : 1 Time(s)
lizzy rhost=194.75.49.235 : 1 Time(s)
louis rhost=194.75.49.235 : 1 Time(s)
love rhost=194.75.49.235 : 1 Time(s)
lucy rhost=194.75.49.235 : 1 Time(s)
marci rhost=194.75.49.235 : 1 Time(s)
maria rhost=194.75.49.235 : 1 Time(s)
marvin rhost=194.75.49.235 : 1 Time(s)
meagan rhost=194.75.49.235 : 1 Time(s)
nancy rhost=194.75.49.235 : 1 Time(s)
network rhost=194.75.49.235 : 1 Time(s)
news rhost=194.75.49.235 : 1 Time(s)
newton rhost=194.75.49.235 : 1 Time(s)
nita rhost=194.75.49.235 : 1 Time(s)
olivia rhost=194.75.49.235 : 1 Time(s)
orca rhost=194.75.49.235 : 1 Time(s)
orwell rhost=194.75.49.235 : 1 Time(s)
oxford rhost=194.75.49.235 : 1 Time(s)
pacific rhost=194.75.49.235 : 1 Time(s)
pam rhost=194.75.49.235 : 1 Time(s)
pat rhost=194.75.49.235 : 1 Time(s)
patricia rhost=194.75.49.235 : 1 Time(s)
philip rhost=194.75.49.235 : 1 Time(s)
robin rhost=194.75.49.235 : 1 Time(s)
summercamps rhost=194.75.49.235 : 1 Time(s)
wu rhost=194.75.49.235 : 1 Time(s)
www rhost=194.75.49.235 : 1 Time(s)
yang rhost=194.75.49.235 : 1 Time(s)
zhao rhost=194.75.49.235 : 1 Time(s)
Unknown Entries:
check pass; user unknown: 89 Time(s)
dovecotが辞書攻撃を受けておりました。
まぁ1ヶ月に一度くらいは、以前からもありました。
ちょくちょく、Logを見てはdeny-IPにセットしていましたが、これだけえげつなくやられると腹が立ってきますね~。
ちょっと前に伏線がありまして、導入しているFail2banに引っかかっていたIPです。
何度もbannedされてIPを止められていました。Fail2banの場合には、同じIDで何回かパスワードを入力ミスするとbannedになります。bannedになるとIPを一時的に止められてしまいますが、これが、伏線としてあり、どのIDも1回、2回の攻撃で止めbannedにならないように再度、攻撃をしてきたと言うことになります。
そこで、swatchを導入することにしました。
swatchの場合にはIPで何回か指定された回数のエラーをすると、IPを止める事の出来るログ監視ツールです。突破されていないから大丈夫ではあるのですが、無駄なリソースを使ってしまうので動作も重たくなるし、余計な負荷をサーバーにかけないという観点から導入を決めました。
導入に際して参考にさせて頂いたサイトは・・・CentOSで自宅サーバー構築 です。
いつもいつも感謝です。
ちょっと変わったところは、レポジトリがRPMからEPELでインストールが出来る事でした。
これはCentOS5とCentOS6の違いか32bit、64bitの違いかと思います。CentOS6.4-64bitの方はEPELでOKかと思います。また、perlの一部が不足して、logにエラー表示が出ますが、[Can’t locate *.pm in @INC]その場合には、# yum -y install perl-File-Tail でインストールして下さい。
再度、logを確認(パスは/var/log/swatch/swatch.logです)してエラーが無ければ成功です。あとは・・・
# chmod +x /etc/rc.d/init.d/swatch 起動用スクリプトに実行権を与え
# /etc/rc.d/init.d/swatch start swatchのサービスを開始して
# chkconfig swatch on 自動起動設定をして
# chkconfig –list swatch 確認をすれば出来上がりです。
※ちょっと端折って書きましたので抜けがあるかも知れませんので、必ずサーバー構築の際には確認をお願いします。
これでATOM鯖がどうなるか?
辞書攻撃でbannedになるのが楽しみになってきました。