はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/05/30
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 当サイト情報 >> スレッド

このページは表示専用です。新規投稿・レスや最新情報はこちらです。

このスレッドはクローズされています。記事の閲覧のみとなります。

 ログファイルに大量の
日時: 2006/02/19 00:16
名前: 初心者

はじめまして、fedora4でサーバーを構築しましたが、ログを見ますと
host dovecot(pam_unix)[27852]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
という攻撃?ログが大量にあります。

色々検索してみましたが英語のサイトばかりでよくわからず、ご質問させていただくことにしました。
このログはやはり攻撃されているのでしょうか?

また防御するにはどのようにすればよろしいでしょうか?
postfix+dovecot+SMTP-AUTHで運用しています。
宜しくお願いします。

■ コンテンツ関連情報

 Re: ログファイルに大量の ( No.1 )
日時: 2006/02/19 10:02
名前: 武蔵

どのタイミングで出力されているんでしょうか?
大抵はSMTP-AUTH認証で失敗していると思いますが・・・

 Re: ログファイルに大量の ( No.2 )
日時: 2006/02/19 12:16
名前: 初心者

武藤さんへ
ご返信ありがとうございます。
ログを見ますと1分ごとに、はかれているみたいです。
Feb 19 12:06:34 host dovecot(pam_unix)[12129]: check pass; user unknown
Feb 19 12:06:34 host dovecot(pam_unix)[12129]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
Feb 19 12:07:34 host dovecot(pam_unix)[12134]: check pass; user unknown
Feb 19 12:07:34 host dovecot(pam_unix)[12134]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
Feb 19 12:08:34 host dovecot(pam_unix)[12142]: check pass; user unknown
Feb 19 12:08:34 host dovecot(pam_unix)[12142]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
Feb 19 12:09:34 host dovecot(pam_unix)[12153]: check pass; user unknown
Feb 19 12:09:34 host dovecot(pam_unix)[12153]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
Feb 19 12:10:34 host dovecot(pam_unix)[12188]: check pass; user unknown
Feb 19 12:10:34 host dovecot(pam_unix)[12188]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
Feb 19 12:11:34 host dovecot(pam_unix)[12193]: check pass; user unknown
Feb 19 12:11:34 host dovecot(pam_unix)[12193]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=

こんな感じです。
宜しくお願いします。
 Re: ログファイルに大量の ( No.3 )
日時: 2006/02/19 12:48
名前: 初心者

すみません、お名前を間違いました(^-^;
武藤さん→武蔵さんです。すみませんでした。<(_ _)>
 Re: ログファイルに大量の ( No.4 )
日時: 2006/02/19 13:06
名前: 武蔵

いえいえ・・・。(^-^;

まず、アタックされているか見極めましょう。
ネットから切り離して、2〜3分ほっておきます。

これでログを見て同じ物が出ていたらアタックではないと思います。
(何か仕掛けられていない限りですけど)

定期的にでているので、システム的に思えますが・・

ちなみに、saslauthdデーモンは起動してますよね?
 Re: ログファイルに大量の ( No.5 )
日時: 2006/02/19 14:08
名前: 初心者

ご返信ありがとうございます。
>まず、アタックされているか見極めましょう。
>ネットから切り離して、2〜3分ほっておきます。

LANケーブルを全てはずし、試したところ、ログは記載されませんでした。
LANケーブルを繋いだ途端にログが吐き出されてきました。
やはり攻撃を受けているのでしょうか?
Feb 19 14:01:46 host kernel: tg3: eth2: Link is down.
Feb 19 14:01:48 host kernel: eth0: link down
Feb 19 14:01:50 host kernel: eth1: link down
Feb 19 14:04:09 host kernel: eth0: link up, 100Mbps, full-duplex, lpa 0x45E1
Feb 19 14:04:15 host kernel: eth1: link up, 100Mbps, full-duplex, lpa 0x45E1
Feb 19 14:04:21 host kernel: tg3: eth2: Link is up at 100 Mbps, full duplex.
Feb 19 14:04:21 host kernel: tg3: eth2: Flow control is on for TX and on for RX.
Feb 19 14:04:21 host kernel: tg3: eth2: Link is down.
Feb 19 14:04:23 host kernel: tg3: eth2: Link is up at 100 Mbps, full duplex.
Feb 19 14:04:23 host kernel: tg3: eth2: Flow control is on for TX and on for RX.
Feb 19 14:04:35 host dovecot(pam_unix)[15422]: check pass; user unknown
Feb 19 14:04:35 host dovecot(pam_unix)[15422]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
Feb 19 14:05:35 host dovecot(pam_unix)[15506]: check pass; user unknown
Feb 19 14:05:35 host dovecot(pam_unix)[15506]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
Feb 19 14:06:35 host dovecot(pam_unix)[15543]: check pass; user unknown
Feb 19 14:06:35 host dovecot(pam_unix)[15543]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=

>ちなみに、saslauthdデーモンは起動してますよね?
はい起動確認いたしました。
何かあと必要な資料がいるようでしたらご指摘下さい。
何もなければいいのですが、ログが肥大してきて結構うっとうしいもので(^-^;
 Re: ログファイルに大量の ( No.6 )
日時: 2006/02/19 16:50
名前: 武蔵

クライアントからメールソフトで1分毎に受信とかしていますか?

サーバのみ起動状態でこのログがでるのでしょうか?

それと、通常にメールの送受信はできていますか?
 Re: ログファイルに大量の ( No.7 )
日時: 2006/02/19 16:54
名前: 初心者

武蔵さんへ

>クライアントからメールソフトで1分毎に受信とかしていますか?
クライアントからは10分おきに受信しています。

>サーバのみ起動状態でこのログがでるのでしょうか?
いいえログは出ないようです。

>それと、通常にメールの送受信はできていますか?
はい、メールの送受信は通常に行えています。

お手数ですが宜しくお願いいたします。
 Re: ログファイルに大量の ( No.8 )
日時: 2006/02/19 17:04
名前: 武蔵

通常(ログが出力される状態で)にして、netstatコマンドを実行してみてください。

tcp    0   30 xxx.net:pop3     ::ffff:xxx.xxx.xxx.xxx:3754
上記の部分(pop3)のIPアドレスがグローバルIPであればそこが接続元です。

タイミングよく netstat を実行するのが秘訣?です。

もし、表示された場合は、アタックされていると思います。
ログ上では"authentication failure"になっているので拒否しています。
しかし、相手先がスクリプトかなんかを組んであって接続毎にパスワードを探っているかもしれません。
 Re: ログファイルに大量の ( No.9 )
日時: 2006/02/19 17:20
名前: VIPER

dovecotを再起動した時にログに何かえらーが出力してませんか?
auditdサービスは動いていますか?
sendmailとpostfixが同時に動いてませんか?
 Re: ログファイルに大量の ( No.10 )
日時: 2006/02/19 20:45
名前: 初心者

武蔵さん誠にありがとうございます。
仕事の関係で今、出張先から自宅サーバーにSSHで入ってnetstatを実行してみました。
(外部からだと意味がないですかね??(^-^; すみません何もわかっていなくて)
表示された内容は下記のとおりです。
[root@host nishitani]# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address        Foreign Address       State
tcp    1   0 mydomain.com:40081      xmlrpc.rhn.redhat.com:https CLOSE_WAIT
tcp    1   0 mydomain.com:40080      xmlrpc.rhn.redhat.com:https CLOSE_WAIT
tcp    1   0 mydomain.com:40083      xmlrpc.rhn.redhat.com:https CLOSE_WAIT
tcp    1   0 mydomain.com:43011      xmlrpc.rhn.redhat.com:https CLOSE_WAIT
tcp    1   0 mydomain.com:48023      xmlrpc.rhn.redhat.com:https CLOSE_WAIT
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3465 TIME_WAIT
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3464 TIME_WAIT
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3467 TIME_WAIT
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3466 TIME_WAIT
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3461 TIME_WAIT
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3460 TIME_WAIT
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3463 TIME_WAIT
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3462 TIME_WAIT
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3457 TIME_WAIT
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3456 TIME_WAIT
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3459 TIME_WAIT
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3458 TIME_WAIT
tcp    0   0 mydomain1.com:http     p4009-ipad26funabasi.c:4489 TIME_WAIT
tcp    0   0 mydomain:pop3       KHP222227225142.ppp-bb:1431 TIME_WAIT
tcp    0  1320 mydomain:ssh       KHP222227225142.ppp-bb:1427 ESTABLISHED
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3453 TIME_WAIT
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3452 TIME_WAIT
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net:prsvp TIME_WAIT
tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3454 TIME_WAIT

pop3のところのKHP2222....は私の使用しているアドレスです。
これで何かわかりますでしょうか?

また、mydomainとmydomain1があるのはIPベースでバーチャルを行っています。


VIPERさん
>dovecotを再起動した時にログに何かえらーが出力してませんか?
これといったエラー(messageを見ましたが)は出ていません。

>auditdサービスは動いていますか?
はい起動しています。

>sendmailとpostfixが同時に動いてませんか?
いえ、sendmailは止まっています。

dovecot.confを記載したほうがよろしいでしょうか?

何度もお手数おかけし申し訳ございませんが宜しくお願いいたします。


 Re: ログファイルに大量の ( No.11 )
日時: 2006/02/20 17:59
名前: 武蔵

/etc/hostsの内容を教えてください。
 Re: ログファイルに大量の ( No.12 )
日時: 2006/02/20 19:14
名前: 初心者

武蔵さんへ
お世話になります。
/etc/hostsの内容です。
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 host.mydomain.com host localhost.localdomain localhost
192.168.x.100 mydomain.com
192.168.x.101 mydomain1.com

です。
宜しくお願いいたします。



 Re: ログファイルに大量の ( No.13 )
日時: 2006/02/20 20:03
名前: 武蔵

# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 host.mydomain.com host localhost.localdomain localhost mydomain.com mydomain1.com

上記の様にして確認してみてください
 Re: ログファイルに大量の ( No.14 )
日時: 2006/02/20 22:40
名前: 初心者

武蔵さんへ
お世話になります。
># Do not remove the following line, or various programs
># that require network functionality will fail.
>127.0.0.1 host.mydomain.com host localhost.localdomain localhost mydomain.com mydomain1.com
>上記の様にして確認してみてください

に変更してみましたが、結果やはり同じでした。(^-^;

dovecotを再インストールした方がよろしいのでしょうか?

 Re: ログファイルに大量の ( No.15 )
日時: 2006/02/20 23:54
名前: 初心者

武蔵さんへ
お世話になっております。

少し気になる点があったのですが、メールソフトはPOP3で設定していますので
ルーターは25,110番ポートのみ開放していますが、143ポートを開ける必要は
ないのでしょうか?
多分関係ないと思いますが......

宜しくお願いいたします。

 Re: ログファイルに大量の ( No.16 )
日時: 2006/02/22 20:47
名前: 初心者

武蔵さんはじめご指導いただいた方々へ

大量ログですが、dovecotを再インストールしなおした所、収まりました。
実際の原因は何だったのか突き止められずにいましたが、とりあえずこれで様子を見てみます。
色々ご指導頂き感謝いたします。
誠にありがとうございました。

なお、原因については時間をかけて色々調べて突き止めていきたいと思います。

■ その他

ページ先頭へ


Copyright(©)2004-2018 First home server construction. All Right Reserved.