パソコン鳥のブログ

アクセスカウンタ

zoom RSS メールサーバのSMTP-Authへの総当たり攻撃(辞書攻撃/ブルートフォースアタック)への対処

<<   作成日時 : 2014/02/05 22:13   >>

トラックバック 2 / コメント 0

SMTP認証へ辞書攻撃されるのでメールサーバをSMTPS-AUTH のみ利用にする で SMTPS-AUTH の設定方法について説明しました。
SSHGuard を使用している場合は、SMTPS-AUTH への辞書攻撃へ対処できるようにする設定を説明します。

SSHGuard については、下記を参照して下さい。

SSH総当たり攻撃(辞書攻撃/ブルートフォースアタック)の対策とその効果
SSHGuard使用時の iptables再起動の注意点と、SSHGuard起動・停止スクリプト



root で以下のファイルを修正して下さい。

/usr/local/sbin/log2sshguardsig.pl

#! /usr/bin/perl

use IO::Handle;

STDOUT->autoflush(1);

while( 1 ){

    $line = <STDIN>;

    if( $line =~ /authentication failure; .+ruser=(.+?) rhost=([0-9\.]+)[\r\n\s]/ ){
        # dovecot2.0
        $user = $1;
        $ip = $2;
        print "Invalid user $user from $ip\n";
    }elsif( $line =~ /Aborted login: user=<(.+?)>, method=PLAIN, rip=(.+?),/ ){
        # dovecot1.0
        $user = $1;
        $ip = $2;
        print "Invalid user $user from $ip\n";
    }elsif( $line =~ /postfix\/smtpd.+\[(.+)\]: SASL .+ authentication failed: authentication failure/ ){
        # smtps+auth
        $user = "unknown";
        $ip = $1;
        print "Invalid user $user from $ip\n";
    }elsif( $line =~ /([0-9\.]+) \- (.+?) .+? "GET.+?HTTP.+?" 401/ ){
        # apache basic/digest認証
        $user = $2;
        $ip = $1;
        print "Invalid user $user from $ip\n";
    }else{
        print "$line";
    }

}



/usr/local/sbin/exec_sshguard.sh

/usr/bin/tail -n0 -F /var/log/secure /var/log/httpd/access_log /var/log/httpd/ssl_access_log /var/log/maillog | /usr/bin/perl /usr/local/sbin/log2sshguardsig.pl | /usr/local/sbin/sshguard -l - >/dev/null 2>&1
exit 0



修正後、次のコマンドを実行して、SSHGuard を再起動して下さい。


/etc/init.d/iptables stop
/etc/init.d/sshguard stop
/etc/init.d/iptables start
/etc/init.d/sshguard start



これで、SMTPS-AUTH への辞書攻撃でも SSHGuard が反応するようになります。

テーマ

関連テーマ 一覧


月別リンク

トラックバック(2件)

タイトル (本文) ブログ名/日時
スパムメールの踏み台にされてしまった!
先日、管理しているメールサーバがスパムの踏み台にされてしまいました。 メールサーバのあるユーザアカウントのパスワードが漏れてしまったようで、そのアカウントを使って、スパムメールが大量に送信されました。 スパムメールの送信開始が休日の夜中に始まった為、異常に気付いて対処するまでに12時間かかってしまいました。 ...続きを見る
パソコン鳥のブログ
2014/03/06 23:25
CentOSでyum-cronの設定をする
yum-cronのデフォルトだとkernelのアップデートやsecurity updateでないup ...続きを見る
Confluence: Satoshi ...
2015/01/21 11:11

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
メールサーバのSMTP-Authへの総当たり攻撃(辞書攻撃/ブルートフォースアタック)への対処 パソコン鳥のブログ/BIGLOBEウェブリブログ
文字サイズ:       閉じる