黒猫すいせ~☆の理系な日常
ページ内検索
カテゴリー別
コンタクト
メール
suisei@kuronekodoh.dip.jp

WEBメッセージ
名前
本文

- 広告 -

2013年11月23日
メールサーバーへのブルートフォースアタック対策を行って、2週間とちょっとがたちました。
対策が上手く動いているかの確認です。

まずは、ログの確認です

$ cat /var/log/mail.log | grep -i "failed"

Nov 17 09:01:32 kuronekodoh postfix/smtpd[6294]: warning: unknown[221.213.42.76]: SASL LOGIN authentication failed: authentication failure
Nov 17 09:01:33 kuronekodoh postfix/smtpd[6294]: warning: unknown[221.213.42.76]: SASL LOGIN authentication failed: authentication failure
Nov 18 10:20:14 kuronekodoh postfix/smtpd[18789]: warning: unknown[46.149.111.93]: SASL LOGIN authentication failed: authentication failure
Nov 19 18:36:11 kuronekodoh dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=64.199.111.26, lip=xxx.xxx.xxx.xxx
Nov 19 18:38:11 kuronekodoh dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=64.199.111.26, lip=xxx.xxx.xxx.xxx


17日に SMTP 、19日に POP3 にアタックがあったみたいですネ

どうやら、自作のスクリプトが上手に動いていなかったみたいで SMTP サーバーへのアクセスは、遮断できてなかったみたい。。。

とりあえず、どれくらいアッタクされたのか確認です。

$ cat /var/log/mail.log | grep -i "authentication failed:" | awk '{print $1 " " $2}' | sort | uniq -c
921 Nov 17
1 Nov 18
1 Nov 21

921回パスワードを試されてたみたいですネ ( ´゚д゚`)アチャー

ブルートフォースアタックで突破されたかどうかをログから判断できないか試行錯誤したのですが、わからなかったです。。。
900回でユーザーとパスワードが特定できるとは思わないですが、戒めのためにもパスワード変更です。(;´д`)トホホ…

で、スクリプトを組み直して今度こそ準備完了。

これで、ひと通りのセキュリティは完了かな?

次は、どんな手で攻めてくるのか、もはや想像もつかないです。




コメント(13) トラックバック(0)

/ Linux / サーバー



1. ななしさん
2018.05.08 (10:54)


2. ななしさん
2018.05.29 (03:50)


3. ななしさん
2018.06.02 (06:35)

(続きを見る)
- PR -



2013年11月09日
場所は、広島県の竹原市の「明神の波止」周辺です。

明神の波止は、先客でいっぱいでしたので、少し手前の「竹原貨物輸送」の向かい側でスタートです。
こんな感じですYo



周りはみんなチヌ釣りでしたが、ここでは、エソとフグが釣れました。
少しすると、あたりが少なくなり、餌もフグに持って行かれる状態でしたので「明神の波止」へ移動です。

こんな感じの波止ですYo



移動して一投目でアイナメが釣れたYo
さすが、釣りスポットとして紹介されているだけの事はありますネ



そのまま、明神の波止の先端に移動しながら、釣り続け、餌がなくなり終了です。

気になる釣果は、、、
アイナメ、エソ、鯛、メバルでしたYo
全部で10匹くらいだったと思う

今回、魚はすべてあげてしまったので、写真はなしです。

そろそろ、冬の魚が釣れだして来たみたいなので、次はカレイに期待かなぁ?




コメント(16) トラックバック(0)

/ 釣り



1. ななしさん
2017.11.18 (20:35)


2. ななしさん
2018.04.12 (08:32)


3. ななしさん
2018.07.05 (04:11)

(続きを見る)





2013年11月04日
POP3サーバー(dovecot)のブルートフォースアタック対策です。

前回、iptables で対策をしようとしたけど、上手く設定できなかったので、別の方法を google 先生に聞きましたYo

どうやら、fail2banというツールを使うみたいなのです。
fail2banの事を調べると、ログを監視して認証に失敗しているログを見つけては、そのIPアドレスを接続禁止に設定すると説明がありましたYo

これなら、スクリプトで作れるんじゃない?と思い、自作で挑戦してみましたので、備忘のために書いておきますね。


ログの監視方法

まずは、最新のログの 200行を抽出です。

$ tail -n 200 /var/log/auth.log
Oct 30 07:47:37 kuronekodoh auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=minghe rhost=210.57.210.2
Oct 30 07:47:57 kuronekodoh auth: pam_unix(dovecot:auth): check pass; user unknown
Oct 30 07:47:57 kuronekodoh auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=minh rhost=210.57.210.2
Oct 30 07:48:17 kuronekodoh auth: pam_unix(dovecot:auth): check pass; user unknown


認証失敗のログがいっぱいですね。

必要な行を grep で抽出です。

$ tail -n 200 /var/log/auth.log | grep -i "authentication failure"
Oct 30 07:47:37 kuronekodoh auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=minghe rhost=210.57.210.2
Oct 30 07:47:57 kuronekodoh auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=minh rhost=210.57.210.2


必要な情報を awk で抽出です。

$ tail -n 200 /var/log/auth.log | grep -i "authentication failure" | awk '{print $6 "/" $14}'
pam_unix(dovecot:auth):/rhost=210.57.210.2
pam_unix(dovecot:auth):/rhost=210.57.210.2


ソートして集計をします。
コマンドは sort と uniq です。

$ tail -n 200 /var/log/auth.log | grep -i "authentication failure" | awk '{print $6 "/" $14}' | sort | uniq -c
8 pam_unix(dovecot:auth):/rhost=122.182.10.250
59 pam_unix(dovecot:auth):/rhost=210.57.210.2
1 pam_unix(sshd:auth):/rhost=118.244.181.33


こんな感じで抽出完了です。

あとは、失敗回数とIPアドレスを抽出して一定以上の失敗者を iptables で排除して完了ですYo

$ iptables -I INPUT -p tcp --dport 110 -s 210.57.210.2 -j DROP

上の流れを シェルスクリプトに組んで cron さんで定期実行させれば完了です。


どうも、pop3 へのブルートフォースアタックは、土日に来るみたいですので今週末が楽しみです。
pop3 も閉じたし、次は、smtp に来るのかな?かな?

ではでは、良い週末を \(´-`)ノ




コメント(0) トラックバック(0)

/ Linux / サーバー







2013年10月31日
前回の「ブルートフォースアタック対策」を行って2週間が立ちました。
アタックをかけていた悪い人は、もう諦めたかなぁと思いログを確認です。

$ cat /var/log/auth.log

Oct 31 19:57:30 kuronekodoh auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=trunk rhost=85.214.206.123


あれ???
ブルートフォースアタックされている見たい、、、
今度は、メールサーバー(pop3)でやってるみたいですっっ
(… ssh では、諦めたみたいですが、、、)

イタチごっこは、嫌いでは無いのですよ。
今度は、110 port を閉じればいいんですね。はい。
では、今回も iptables さんにお願いです。

$ sudo iptables -A INPUT -p tcp -m state --syn --state NEW --dport 110 -m hashlimit --hashlimit-name t_sshd --hashlimit 12/h --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-htable-expire 361000 -j ACCEPT
$ sudo iptables -A INPUT -p tcp --syn -m state --state NEW --dport 110 -j DROP

で、動作検証ですYo
telnet から pop3 サーバーへログインです。

$ telnet localhost 110
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
+OK Dovecot ready.

で、適当な user / pass を入力して認証失敗を繰り返すと、、、

え~っと、何度も入力できるみたいです。。。
どうやら、認証に失敗しても pop3 サーバーとの接続が切れないため、上記の設定は、意味が無いみたいですね。。。

とりあえず、今日はここまです。
pop3 サーバーは、とりあえず別ポートで動作させるとして、早急に別の対策をとる必要があるみたいですね。

google 先生は「fail2ban」を使えと言ってるみたいですので、次回更新は「fail2ban」の事になりそうです。




コメント(25) トラックバック(0)

/ Linux / サーバー



1. ななしさん
2017.10.23 (15:29)


2. ななしさん
2018.04.18 (08:38)


3. ななしさん
2018.05.17 (10:42)

(続きを見る)





2013年10月27日
日曜日、わがままを言って「たけはら憧憬の路」へ行ってきましたYo

江戸時代から残る町並みが竹とロウソクでライトアップされた幻想的なイベントでした。

入り口の大きめの竹筒



竹取物語の切り絵



おかかえ地蔵へと続く山道



ドーム状のモニュメント



暗くて、携帯じゃ上手に取れなかったけど、かぐや姫もいましたYo



クリスマスのイルミネーションとは違ったアナログなロウソクの光がとても柔らかく綺麗でした。




コメント(19) トラックバック(0)

/ 雑記



1. ななしさん
2017.10.18 (16:32)


2. ななしさん
2018.05.08 (10:58)


3. ななしさん
2018.07.05 (04:05)

(続きを見る)





プロフィール
すいせ~☆
名前:すいせ~☆

アプリケーションやなんやらを好奇心が赴くまま作成、発信して行くサイトです。 その他は、未定です。知りたい人は、いないと思うしぃ。。。
アクセスカウンタ
今日 23 昨日 44 総合 49586
カレンダー
前月 2018年11月
28 29 30 31 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 1
Twitter

- 広告 -