このところ静かだったdovecotへの攻撃ですが、昨日の金曜日に沢山ありました。logwatchには Dovecot disconnects: auth failed, 1 attempts: 893 Time(s) と書かれています。
攻撃元IPは222.122.31.109です。
どんなlogになっているかというと・・・・
Authentication Failures:
root: 355 Time(s)
test rhost=222.122.31.109 : 10 Time(s)
admin rhost=222.122.31.109 : 8 Time(s)
testing rhost=222.122.31.109 : 5 Time(s)
clamav: 4 Time(s)
guest rhost=222.122.31.109 : 4 Time(s)
oracle rhost=222.122.31.109 : 4 Time(s)
postgres rhost=222.122.31.109 : 4 Time(s)
sales1 rhost=222.122.31.109 : 4 Time(s)
alan rhost=222.122.31.109 : 3 Time(s)
andrea rhost=222.122.31.109 : 3 Time(s)
anita rhost=222.122.31.109 : 3 Time(s)
clamav1 rhost=222.122.31.109 : 3 Time(s)
cvsadmin rhost=222.122.31.109 : 3 Time(s)
edu rhost=222.122.31.109 : 3 Time(s) ・・・・続く
馬鹿みたいにrootで355回も認証しようとしていました。
以降、IPを弾かれてしまうのでしまうので、アタックする回数はuser名毎に減ってきて最後には1回だけの攻撃になっていました。
このIPは韓国ソウル周辺のようですね。韓国もロクな奴しかいないようなので国ごとブロックしてしまう方が面倒臭くなくていいかもしれません。(乗っ取られているサーバからの攻撃かも知れませんが)
このブログ上で色々なセキュリティ面でのソフト環境を公開(詳細は書いておりませんが、何のソフトを使っているかなど)しているので、そのような内容を確認して攻撃している節があります。なるべくならこのような事は公開しない方が自宅サーバの保守面では良いのかも知れません。SSH・FTPはルーター側でポート転送を遮断しているのでローカル環境からしか入れません(ローカルでしか操作しかしない人はこの方が安全です)
○iptables(Firewall)でサービス毎に許可・不許可を設定
○Apache/Postfixなどヴァージョンを隠す
○fail2banでdovecot/postfixを設定して認証失敗回数でIPを遮断
以上3点は最低限必要なセキュリティとなります。