- æ¥æï¼ 2006/07/20 20:23
- ååï¼ house
- ①不明点・障害内容:メールが不正に利用されている?
②ログの有無 :あり(下記参照)
(有:その内容):
③Distribution :fc5
Version:
ログ
メールヘッダ)
Return-Path: <uucp@shiawase-home.com>
X-Original-To: uucp@shiawase-home.com
Delivered-To: info@shiawase-home.com
Received: from localhost (localhost.localdomain [127.0.0.1])
by server.shiawase-home.com (Postfix) with ESMTP id EC1A51E28032
for <uucp@shiawase-home.com>; Thu, 20 Jul 2006 14:44:10 +0900 (JST)
X-Virus-Scanned: amavisd-new at shiawase-home.com
X-Spam-Flag: YES
X-Spam-Score: 29.194
X-Spam-Level: *****************************
X-Spam-Status: Yes, score=29.194 tagged_above=2 required=6.31
tests=[ALL_TRUSTED=-1.44, MISSING_SUBJECT=1.345, NOTINCONTENTTYPE=0.2,
NO_REAL_NAME=0.55, RAZOR2_CF_RANGE_51_100=2.5,
RAZOR2_CF_RANGE_E4_51_100=1.5, RAZOR2_CF_RANGE_E8_51_100=1.5,
RAZOR2_CHECK=1, SURBL_DCN=5.5, URIBL_AB_SURBL=3.306, URIBL_JP_SURBL=1,
URIBL_OB_SURBL=0.1, URIBL_SC_SURBL=3.6, URIBL_WS_SURBL=1.533,
URLBL_RBLJP=1.5, URLRBLJP_DCN=5.5]
Received: from server.shiawase-home.com ([127.0.0.1])
by localhost (server.shiawase-home.com [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id kxcP6zxQxXpK for <uucp@shiawase-home.com>;
Thu, 20 Jul 2006 14:44:06 +0900 (JST)
Received: from 68-114-82-17.dhcp.oxfr.ma.charter.com (68-114-82-17.dhcp.oxfr.ma.charter.com [68.114.82.17])
by server.shiawase-home.com (Postfix) with SMTP id 1CBF51E2802A
for <uucp@shiawase-home.com>; Thu, 20 Jul 2006 14:44:04 +0900 (JST)
To: uucp@shiawase-home.com
Message-Id: <20060720054405.1CBF51E2802A@server.shiawase-home.com>
Date: Thu, 20 Jul 2006 14:44:04 +0900 (JST)
From: uucp@shiawase-home.com
メール送信者等)
差出人: uucp@shiawase-home.com
日付: 2006年 7月 20日(木)2:44 pm
宛先: uucp@shiawase-home.com
重要度: 中
メール本文)
simple...
email advertise like this to 8,000,000 people this week for free...
http://www.broadcastemailgroup.com/
the above non commercial offer is directed at non commercial
charities only. push charity info on site for details. this offer is
not a commercial service that is absolutely not at all available
for sale or lease or trade of any kind.
**************
現在のポート開閉状況
25,80,443、ハイポートで5つ
**************
皆さん、いつもコメント頂きまして、大変ありがとうございます。
ちょっと困ったことになっているかもしれないので、
できればコメント頂ければ幸いです。
上記のように、uucpから私のドメイン名にて
私宛にメールが届きました。
多分、不正アクセスされているのだと思います。
サーバーのメンテナンスを高めようと考え、
fc5をなるべく最小限(GUIは入れましたが)インストールし、
ルーターとiptablesにてブロックし、
運用再開後1日未満です。
サーバー再開後8時間という短い時間で
上記のようなメールが私宛に届きました。
(情けない)
セキュリティ向上の為に、
したことは、
各種監視ソフトの導入(見ているだけですが)
1.SSH不正アクセスの監視
2.SnortSnarf による監視
3.iptables logs による監視
具体的対策
4.ルーターにて必要なしポートの切断
5.iptablesの導入
6.SWATCH導入
(一定のPing of Death、SSHログインエラー、FTPログインエラー時のIPアドレス拒否)
7.chkrootkit
8.CLAMAV
9.Exec-Shield
10.メールの受信は内部クライアントからのみ
(SquirrelMailは導入している)
11.SSH(内部からのみアクセス)
12.ftp無し
13.通常のアクセスはpoderosa
セキュリティ上問題がありそうなところ
1.samba導入
2.webmin導入(最新版)
3.vnc導入
(ただし、vnc利用の際は、ターミナルでVNC起動後、利用し、
終了後、ターミナルでVNC切断)
4.webdav
と思いつくままですが、こんな感じです。
それなりにセキュリティに気をつけていたつもりだったので、
結構ショックです。
uucpはネットで調べるとメールの中継に関係しているようですが、
私の中ではどうやらこれが不正に経由されているような気がします。
どこかでルートのID/パスワードが漏れているということでしょうかもしれません。
ただ私の中では、TELNETもなければ、ターミナルも内部からのアクセスのみの設定なので、
どうしてこういうことになるのか分かりません。
どんなことでも良いので
何か対策等を教えていただければ幸いです。
だらだらと長文で失礼します。
 |
uucp経由でメール不正送信がされている?
Re: uucp経由でメール不正送信がされている? ( No.6 )