ログファイルに大量の

このスレッドはクローズされています。記事の閲覧のみとなります。

ログファイルに大量の

æ¥æï¼ 2006/02/19 00:16
ååï¼ 初心者

はじめまして、fedora4でサーバーを構築しましたが、ログを見ますと host dovecot(pam_unix)[27852]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= という攻撃？ログが大量にあります。色々検索してみましたが英語のサイトばかりでよくわからず、ご質問させていただくことにしました。このログはやはり攻撃されているのでしょうか？また防御するにはどのようにすればよろしいでしょうか？ postfix+dovecot+SMTP-AUTHで運用しています。宜しくお願いします。

Page: [1] [2] [3] [4]

■ コンテンツ関連情報

Re: ログファイルに大量の ( No.1 )

æ¥æï¼ 2006/02/19 10:02
ååï¼ 武蔵

どのタイミングで出力されているんでしょうか？大抵はSMTP-AUTH認証で失敗していると思いますが・・・

Re: ログファイルに大量の ( No.2 )

æ¥æï¼ 2006/02/19 12:16
ååï¼ 初心者

武藤さんへご返信ありがとうございます。ログを見ますと１分ごとに、はかれているみたいです。 Feb 19 12:06:34 host dovecot(pam_unix)[12129]: check pass; user unknown Feb 19 12:06:34 host dovecot(pam_unix)[12129]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 19 12:07:34 host dovecot(pam_unix)[12134]: check pass; user unknown Feb 19 12:07:34 host dovecot(pam_unix)[12134]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 19 12:08:34 host dovecot(pam_unix)[12142]: check pass; user unknown Feb 19 12:08:34 host dovecot(pam_unix)[12142]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 19 12:09:34 host dovecot(pam_unix)[12153]: check pass; user unknown Feb 19 12:09:34 host dovecot(pam_unix)[12153]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 19 12:10:34 host dovecot(pam_unix)[12188]: check pass; user unknown Feb 19 12:10:34 host dovecot(pam_unix)[12188]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 19 12:11:34 host dovecot(pam_unix)[12193]: check pass; user unknown Feb 19 12:11:34 host dovecot(pam_unix)[12193]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= こんな感じです。宜しくお願いします。

Re: ログファイルに大量の ( No.3 )

æ¥æï¼ 2006/02/19 12:48
ååï¼ 初心者

すみません、お名前を間違いました(^-^; 武藤さん→武蔵さんです。すみませんでした。<(_ _)>

Re: ログファイルに大量の ( No.4 )

æ¥æï¼ 2006/02/19 13:06
ååï¼ 武蔵

いえいえ・・・。(^-^; まず、アタックされているか見極めましょう。ネットから切り離して、2〜3分ほっておきます。これでログを見て同じ物が出ていたらアタックではないと思います。 (何か仕掛けられていない限りですけど) 定期的にでているので、システム的に思えますが・・ちなみに、saslauthdデーモンは起動してますよね？

Re: ログファイルに大量の ( No.5 )

æ¥æï¼ 2006/02/19 14:08
ååï¼ 初心者

ご返信ありがとうございます。 >まず、アタックされているか見極めましょう。 >ネットから切り離して、2〜3分ほっておきます。ＬＡＮケーブルを全てはずし、試したところ、ログは記載されませんでした。ＬＡＮケーブルを繋いだ途端にログが吐き出されてきました。やはり攻撃を受けているのでしょうか？ Feb 19 14:01:46 host kernel: tg3: eth2: Link is down. Feb 19 14:01:48 host kernel: eth0: link down Feb 19 14:01:50 host kernel: eth1: link down Feb 19 14:04:09 host kernel: eth0: link up, 100Mbps, full-duplex, lpa 0x45E1 Feb 19 14:04:15 host kernel: eth1: link up, 100Mbps, full-duplex, lpa 0x45E1 Feb 19 14:04:21 host kernel: tg3: eth2: Link is up at 100 Mbps, full duplex. Feb 19 14:04:21 host kernel: tg3: eth2: Flow control is on for TX and on for RX. Feb 19 14:04:21 host kernel: tg3: eth2: Link is down. Feb 19 14:04:23 host kernel: tg3: eth2: Link is up at 100 Mbps, full duplex. Feb 19 14:04:23 host kernel: tg3: eth2: Flow control is on for TX and on for RX. Feb 19 14:04:35 host dovecot(pam_unix)[15422]: check pass; user unknown Feb 19 14:04:35 host dovecot(pam_unix)[15422]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 19 14:05:35 host dovecot(pam_unix)[15506]: check pass; user unknown Feb 19 14:05:35 host dovecot(pam_unix)[15506]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 19 14:06:35 host dovecot(pam_unix)[15543]: check pass; user unknown Feb 19 14:06:35 host dovecot(pam_unix)[15543]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= >ちなみに、saslauthdデーモンは起動してますよね？はい起動確認いたしました。何かあと必要な資料がいるようでしたらご指摘下さい。何もなければいいのですが、ログが肥大してきて結構うっとうしいもので(^-^;

Page: [1] [2] [3] [4]

■ その他

ページ先頭へ

Re: ログファイルに大量の ( No.1 )
æ¥æï¼ 2006/02/19 10:02 ååï¼ 武蔵 `どのタイミングで出力されているんでしょうか？大抵はSMTP-AUTH認証で失敗していると思いますが・・・`
Re: ログファイルに大量の ( No.2 )
æ¥æï¼ 2006/02/19 12:16 ååï¼ 初心者武藤さんへご返信ありがとうございます。ログを見ますと１分ごとに、はかれているみたいです。 Feb 19 12:06:34 host dovecot(pam_unix)[12129]: check pass; user unknown Feb 19 12:06:34 host dovecot(pam_unix)[12129]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 19 12:07:34 host dovecot(pam_unix)[12134]: check pass; user unknown Feb 19 12:07:34 host dovecot(pam_unix)[12134]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 19 12:08:34 host dovecot(pam_unix)[12142]: check pass; user unknown Feb 19 12:08:34 host dovecot(pam_unix)[12142]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 19 12:09:34 host dovecot(pam_unix)[12153]: check pass; user unknown Feb 19 12:09:34 host dovecot(pam_unix)[12153]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 19 12:10:34 host dovecot(pam_unix)[12188]: check pass; user unknown Feb 19 12:10:34 host dovecot(pam_unix)[12188]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 19 12:11:34 host dovecot(pam_unix)[12193]: check pass; user unknown Feb 19 12:11:34 host dovecot(pam_unix)[12193]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= こんな感じです。宜しくお願いします。
Re: ログファイルに大量の ( No.3 )
æ¥æï¼ 2006/02/19 12:48 ååï¼ 初心者 `すみません、お名前を間違いました(^-^; 武藤さん→武蔵さんです。すみませんでした。<(_ _)>`
Re: ログファイルに大量の ( No.4 )
æ¥æï¼ 2006/02/19 13:06 ååï¼ 武蔵 `いえいえ・・・。(^-^; まず、アタックされているか見極めましょう。ネットから切り離して、2〜3分ほっておきます。これでログを見て同じ物が出ていたらアタックではないと思います。 (何か仕掛けられていない限りですけど) 定期的にでているので、システム的に思えますが・・ちなみに、saslauthdデーモンは起動してますよね？`
Re: ログファイルに大量の ( No.5 )
æ¥æï¼ 2006/02/19 14:08 ååï¼ 初心者ご返信ありがとうございます。 >まず、アタックされているか見極めましょう。 >ネットから切り離して、2〜3分ほっておきます。ＬＡＮケーブルを全てはずし、試したところ、ログは記載されませんでした。ＬＡＮケーブルを繋いだ途端にログが吐き出されてきました。やはり攻撃を受けているのでしょうか？ Feb 19 14:01:46 host kernel: tg3: eth2: Link is down. Feb 19 14:01:48 host kernel: eth0: link down Feb 19 14:01:50 host kernel: eth1: link down Feb 19 14:04:09 host kernel: eth0: link up, 100Mbps, full-duplex, lpa 0x45E1 Feb 19 14:04:15 host kernel: eth1: link up, 100Mbps, full-duplex, lpa 0x45E1 Feb 19 14:04:21 host kernel: tg3: eth2: Link is up at 100 Mbps, full duplex. Feb 19 14:04:21 host kernel: tg3: eth2: Flow control is on for TX and on for RX. Feb 19 14:04:21 host kernel: tg3: eth2: Link is down. Feb 19 14:04:23 host kernel: tg3: eth2: Link is up at 100 Mbps, full duplex. Feb 19 14:04:23 host kernel: tg3: eth2: Flow control is on for TX and on for RX. Feb 19 14:04:35 host dovecot(pam_unix)[15422]: check pass; user unknown Feb 19 14:04:35 host dovecot(pam_unix)[15422]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 19 14:05:35 host dovecot(pam_unix)[15506]: check pass; user unknown Feb 19 14:05:35 host dovecot(pam_unix)[15506]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 19 14:06:35 host dovecot(pam_unix)[15543]: check pass; user unknown Feb 19 14:06:35 host dovecot(pam_unix)[15543]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= >ちなみに、saslauthdデーモンは起動してますよね？はい起動確認いたしました。何かあと必要な資料がいるようでしたらご指摘下さい。何もなければいいのですが、ログが肥大してきて結構うっとうしいもので(^-^;