パソコン鳥のブログ

アクセスカウンタ

zoom RSS メールサーバへの総当たり攻撃(辞書攻撃/ブルートフォースアタック)への対処

<<   作成日時 : 2013/07/05 22:21   >>

トラックバック 6 / コメント 0

IDやパスワードを変えて何度も接続を試みる総当たり攻撃(辞書攻撃/ブルートフォースアタック)は、ssh以外にメールサーバにも行われます。
sshへの攻撃の対策は、先の 記事 で説明しましたが、同様に SSHGuard を利用して、メールサーバへの攻撃にも対処できます。

以下ではその設定を説明します。なお、対象は CentOS6 + dovecot です。

先に、SSHGuard をインストール・設定しておく必要があります。インストール・設定については、 SSH総当たり攻撃(辞書攻撃/ブルートフォースアタック)の対策とその効果 を参照してください。

設定


以下は root で作業します。

perlを使います。無い場合は、下記でインストールします。

yum install perl


次のファイルを作成します。
/usr/local/sbin/log2sshguardsig.pl

#! /usr/bin/perl

use IO::Handle;

STDOUT->autoflush(1);

while( 1 ){

    $line = <STDIN>;

    if( $line =~ /authentication failure; .+ruser=(.+?) rhost=([0-9\.]+)[\r\n\s]/ ){
        # dovecot2.0
        $user = $1;
        $ip = $2;
        print "Invalid user $user from $ip\n";
    }elsif( $line =~ /Aborted login: user=<(.+?)>, method=PLAIN, rip=(.+?),/ ){
        # dovecot1.0
        $user = $1;
        $ip = $2;
        print "Invalid user $user from $ip\n";
    }else{
        print "$line";
    }

}


rc.localは以下のように修正します。
/etc/rc.local

変更前
    /usr/local/sbin/sshguard -l /var/log/secure
変更後
    /usr/bin/tail -n0 -F /var/log/secure | /usr/bin/perl /usr/local/sbin/log2sshguardsig.pl | /usr/local/sbin/sshguard -l - >/dev/null 2>&1 &


dovecotの認証エラー時のログを、SSHGuard が認識する形式に変換して、SSHGuardに渡します。
これで、sshへの攻撃と同様に、メールサーバへの攻撃に対しても SSHGuard が反応します。

なお、iptablesへの設定変更は必要ありません。
SSH総当たり攻撃(辞書攻撃/ブルートフォースアタック)の対策とその効果に従ったインストール・設定で、メールサーバにも対応できます。


参考


SSH総当たり攻撃(辞書攻撃/ブルートフォースアタック)の対策とその効果 パソコン鳥のブログ/ウェブリブログ
iptablesサンプル パソコン鳥のブログ/ウェブリブログ

テーマ

関連テーマ 一覧


月別リンク

トラックバック(6件)

タイトル (本文) ブログ名/日時
メールサーバの第三者中継チェック
第三者中継とは、誰でもあなたの設定したメールサーバを指定してメール送信出来ることを言います。 このようなサーバは、インターネット上の悪意のある利用者からスパム送信に利用されることもある為、メールサーバは第三者中継を行えない様にした方が望ましいです。 ...続きを見る
パソコン鳥のブログ
2013/08/12 23:03
1年間にサーバが受けた不正アクセスを接続元の国別に集計しました
管理しているサーバの内1台について、過去1年間に不正アクセスしてきたIPアドレスを国別に集計してみました。 以下で紹介した総当たり攻撃(辞書攻撃)を防ぐ sshguard で攻撃として検出された回数を集計しました。 ...続きを見る
パソコン鳥のブログ
2013/10/16 20:58
apacheユーザ認証(HTTP認証)への総当たり攻撃(辞書攻撃/ブルートフォースアタック)への対処
IDやパスワードを変えて何度も接続を試みる総当たり攻撃(辞書攻撃/ブルートフォースアタック)への対処として、これまで下記を紹介しました。 ...続きを見る
パソコン鳥のブログ
2013/11/26 22:23
SSHGuard使用時の iptables再起動の注意点と、SSHGuard起動・停止スクリプト
以下で紹介した SSHGuard使用時の iptables再起動の注意点です。 また、SSHGuard起動・停止スクリプトを作りましたので、紹介します。 ...続きを見る
パソコン鳥のブログ
2014/01/28 22:33
sshへの攻撃を防ぐSSHGuard のインストール・設定用スクリプト
これまで sshへの攻撃を防ぐ SSHGuardについて下記記事で紹介してきましたが、これらの設定を行うスクリプトファイルを用意しました。 なお、スクリプトは CentOS用です。 ...続きを見る
パソコン鳥のブログ
2014/06/22 14:06
1年間にサーバが受けた不正アクセスの国別接続元(2014年5月〜2015年5月分)
管理しているサーバの内1台について、過去1年間に不正アクセスしてきたIPアドレスを国別に集計しました。 以前、下記記事で 2012年10月〜2013年10月までの分を公開しましたが、今回は 2014年5月〜2015年5月分になります。 ...続きを見る
パソコン鳥のブログ
2015/05/19 21:59

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
メールサーバへの総当たり攻撃(辞書攻撃/ブルートフォースアタック)への対処 パソコン鳥のブログ/BIGLOBEウェブリブログ
文字サイズ:       閉じる