昨日のdovecotへの攻撃元はアメリカからでしたが、今日はカナダのモントリオールから攻撃してきました。
fail2banがちゃんと3回目の認証失敗で遮断してくれました。
The IP 184.107.148.82 has just been banned by Fail2Ban after
3 attempts against dovecot.
Here are more information about 184.107.148.82:
iptablesでも危険なIPに関してはcronで自動更新しているので精度が高くなれば認証手前のアクセス時に遮断してくれると思われます。
色々な掲示板に攻撃元のIPが開示されているので、その情報をiptablesの遮断リストに加えておくのも良いかもしれません。・・先に手を打つということです。
最近はlogを見て遮断されているのを確認するのが楽しみになってきている管理人であります。
今日サーバのサービスfail2banからメールが届いていました。
The IP 50.104.153.226 has just been banned by Fail2Ban after
3 attempts against dovecot.
Here are more information about 50.104.153.226:
Regards,
Fail2Ban
3回認証を間違えたのでIPを遮断したという内容です。
ログを確認してみます。
# cat /var/log/secure
May 26 16:48:20 mini2 auth: pam_succeed_if(dovecot:auth): error retrieving information about user admin
May 26 16:48:34 mini2 auth: pam_unix(dovecot:auth): check pass; user unknown
May 26 16:48:34 mini2 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=test rhost=50.104.153.226
May 26 16:48:34 mini2 auth: pam_succeed_if(dovecot:auth): error retrieving information about user test
May 26 16:48:47 mini2 auth: pam_unix(dovecot:auth): check pass; user unknown
May 26 16:48:47 mini2 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=admin rhost=50.104.153.226
May 26 16:48:47 mini2 auth: pam_succeed_if(dovecot:auth): error retrieving information about user admin
May 26 16:48:50 mini2 auth: pam_unix(dovecot:auth): check pass; user unknown
May 26 16:48:50 mini2 auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=test rhost=50.104.153.226
userはadminとtestで認証しようとしていました。まぁ辞書攻撃ですね。
腹がたつのでこのIPをdigコマンドで調べてみました。
#dig 50.104.153.226
<<>> DiG 9.7.3-P3-RedHat-9.7.3-8.P3.el6_2.2 <<>> 50.104.153.226
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 35958
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;50.104.153.226. IN A
;; AUTHORITY SECTION:
. 10800 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2012052600 1800 900 604800 86400
どうやら海外の模様。
きっと他のサーバーも攻撃しているでしょう。
前と違うIPで来ているところを見ると固定IPではなく、ADSLなど使用している率が高いのではないでしょうか。
今度来たらまた載せて(公開して)あげますね。
dovecotの辞書攻撃ですが、この2、3日止まっています。SSH、FTPのポートはルータ側で遮断(localでしか使用しないので)動作しているのはhttpd,pop,smtp関係のポートのみなので、この開いているポートに対して攻撃を受けた場合の設定をしました。(httpdは除外)
まずは、/etc/fail2ban/jail.confに下記を最終行に追加
[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port=”pop3″, protocol=tcp]
sendmail-whois[name=dovecot, dest=***@mini2.luna.ddns.vc]
logpath = /var/log/secure
maxretry = 3
※3回認証エラーを起こすと、そのIPを遮断するようになっています。遮断情報はdestで指定したメールに届きます。自分の場合にはimapは使用していないのでポートはpop3のみ指定してあります。
次に/etc/fail2ban/filter.dの中ににdovecot-pop3imap.confという新しいファイルを作ります。コマンドはvi /etc/fail2ban/filter.d/dovecot-pop3imap.conf
[Definition]
failregex = pam.*dovecot.*(?:authentication failure).*rhost=(?:::f{4,6}:)?(?P
ignoreregex =
以上、追加が終了したらfail2banを再起動します。
/etc/rc.d/init.d/fail2ban restart(初めて起動する場合はrestartをstartに変更)
この後、メール確認、指定したメールアドレスにfail2banからサービスを停止して開始したという旨のメールが届いているはずです。
これでdovecotがどうなるか?後ほど結果をご報告します。