このスレッドはクローズされています。記事の閲覧のみとなります。

ログファイルに大量の
日時： 2006/02/19 00:16 名前： 初心者 はじめまして、fedora4でサーバーを構築しましたが、ログを見ますと host dovecot(pam_unix)[27852]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  という攻撃？ログが大量にあります。 色々検索してみましたが英語のサイトばかりでよくわからず、ご質問させていただくことにしました。 このログはやはり攻撃されているのでしょうか？ また防御するにはどのようにすればよろしいでしょうか？ postfix+dovecot+SMTP-AUTHで運用しています。 宜しくお願いします。

Page:  [1] [2] [3] [4]

■ コンテンツ関連情報

Re: ログファイルに大量の ( No.6 )
日時： 2006/02/19 16:50 名前： 武蔵 クライアントからメールソフトで1分毎に受信とかしていますか？ サーバのみ起動状態でこのログがでるのでしょうか？ それと、通常にメールの送受信はできていますか？
Re: ログファイルに大量の ( No.7 )
日時： 2006/02/19 16:54 名前： 初心者 武蔵さんへ >クライアントからメールソフトで1分毎に受信とかしていますか？ クライアントからは１０分おきに受信しています。 >サーバのみ起動状態でこのログがでるのでしょうか？ いいえログは出ないようです。 >それと、通常にメールの送受信はできていますか？ はい、メールの送受信は通常に行えています。 お手数ですが宜しくお願いいたします。
Re: ログファイルに大量の ( No.8 )
日時： 2006/02/19 17:04 名前： 武蔵 通常(ログが出力される状態で)にして、netstatコマンドを実行してみてください。 tcp    0   30 xxx.net:pop3     ::ffff:xxx.xxx.xxx.xxx:3754 上記の部分(pop3)のIPアドレスがグローバルIPであればそこが接続元です。 タイミングよく netstat を実行するのが秘訣？です。 もし、表示された場合は、アタックされていると思います。 ログ上では"authentication failure"になっているので拒否しています。 しかし、相手先がスクリプトかなんかを組んであって接続毎にパスワードを探っているかもしれません。
Re: ログファイルに大量の ( No.9 )
日時： 2006/02/19 17:20 名前： VIPER dovecotを再起動した時にログに何かえらーが出力してませんか？ auditdサービスは動いていますか？ sendmailとpostfixが同時に動いてませんか？
Re: ログファイルに大量の ( No.10 )
日時： 2006/02/19 20:45 名前： 初心者 武蔵さん誠にありがとうございます。 仕事の関係で今、出張先から自宅サーバーにSSHで入ってnetstatを実行してみました。 (外部からだと意味がないですかね？？(^-^; すみません何もわかっていなくて） 表示された内容は下記のとおりです。 [root@host nishitani]# netstat Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address        Foreign Address       State tcp    1   0 mydomain.com:40081      xmlrpc.rhn.redhat.com:https CLOSE_WAIT tcp    1   0 mydomain.com:40080      xmlrpc.rhn.redhat.com:https CLOSE_WAIT tcp    1   0 mydomain.com:40083      xmlrpc.rhn.redhat.com:https CLOSE_WAIT tcp    1   0 mydomain.com:43011      xmlrpc.rhn.redhat.com:https CLOSE_WAIT tcp    1   0 mydomain.com:48023      xmlrpc.rhn.redhat.com:https CLOSE_WAIT tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3465 TIME_WAIT tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3464 TIME_WAIT tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3467 TIME_WAIT tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3466 TIME_WAIT tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3461 TIME_WAIT tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3460 TIME_WAIT tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3463 TIME_WAIT tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3462 TIME_WAIT tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3457 TIME_WAIT tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3456 TIME_WAIT tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3459 TIME_WAIT tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3458 TIME_WAIT tcp    0   0 mydomain1.com:http     p4009-ipad26funabasi.c:4489 TIME_WAIT tcp    0   0 mydomain:pop3       KHP222227225142.ppp-bb:1431 TIME_WAIT tcp    0  1320 mydomain:ssh       KHP222227225142.ppp-bb:1427 ESTABLISHED tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3453 TIME_WAIT tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3452 TIME_WAIT tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net:prsvp TIME_WAIT tcp    0   0 mydomain1.com:http     p047118.ppp.asahi-net.:3454 TIME_WAIT pop3のところのKHP2222....は私の使用しているアドレスです。 これで何かわかりますでしょうか？ また、mydomainとmydomain1があるのはIPベースでバーチャルを行っています。 VIPERさん >dovecotを再起動した時にログに何かえらーが出力してませんか？ これといったエラー(messageを見ましたが)は出ていません。 >auditdサービスは動いていますか？ はい起動しています。 >sendmailとpostfixが同時に動いてませんか？ いえ、sendmailは止まっています。 dovecot.confを記載したほうがよろしいでしょうか？ 何度もお手数おかけし申し訳ございませんが宜しくお願いいたします。

Page:  [1] [2] [3] [4]

■ その他