はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/05/30
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 質問掲示板

 このスレッドはクローズされています。記事の閲覧のみとなります。

 ログファイルに大量の
日時: 2006/02/19 00:16
名前: 初心者

はじめまして、fedora4でサーバーを構築しましたが、ログを見ますと
host dovecot(pam_unix)[27852]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= 
という攻撃?ログが大量にあります。

色々検索してみましたが英語のサイトばかりでよくわからず、ご質問させていただくことにしました。
このログはやはり攻撃されているのでしょうか?

また防御するにはどのようにすればよろしいでしょうか?
postfix+dovecot+SMTP-AUTHで運用しています。
宜しくお願いします。
メンテ

Page:  [1] [2] [3] [4]

■ コンテンツ関連情報

 Re: ログファイルに大量の ( No.1 )
日時: 2006/02/19 10:02
名前: 武蔵

どのタイミングで出力されているんでしょうか?
大抵はSMTP-AUTH認証で失敗していると思いますが・・・

メンテ
 Re: ログファイルに大量の ( No.2 )
日時: 2006/02/19 12:16
名前: 初心者

武藤さんへ
ご返信ありがとうございます。
ログを見ますと1分ごとに、はかれているみたいです。
Feb 19 12:06:34 host dovecot(pam_unix)[12129]: check pass; user unknown
Feb 19 12:06:34 host dovecot(pam_unix)[12129]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= 
Feb 19 12:07:34 host dovecot(pam_unix)[12134]: check pass; user unknown
Feb 19 12:07:34 host dovecot(pam_unix)[12134]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= 
Feb 19 12:08:34 host dovecot(pam_unix)[12142]: check pass; user unknown
Feb 19 12:08:34 host dovecot(pam_unix)[12142]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= 
Feb 19 12:09:34 host dovecot(pam_unix)[12153]: check pass; user unknown
Feb 19 12:09:34 host dovecot(pam_unix)[12153]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= 
Feb 19 12:10:34 host dovecot(pam_unix)[12188]: check pass; user unknown
Feb 19 12:10:34 host dovecot(pam_unix)[12188]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= 
Feb 19 12:11:34 host dovecot(pam_unix)[12193]: check pass; user unknown
Feb 19 12:11:34 host dovecot(pam_unix)[12193]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= 

こんな感じです。
宜しくお願いします。
メンテ
 Re: ログファイルに大量の ( No.3 )
日時: 2006/02/19 12:48
名前: 初心者

すみません、お名前を間違いました(^-^;
武藤さん→武蔵さんです。すみませんでした。<(_ _)>
メンテ
 Re: ログファイルに大量の ( No.4 )
日時: 2006/02/19 13:06
名前: 武蔵

いえいえ・・・。(^-^;

まず、アタックされているか見極めましょう。
ネットから切り離して、2〜3分ほっておきます。

これでログを見て同じ物が出ていたらアタックではないと思います。
(何か仕掛けられていない限りですけど)

定期的にでているので、システム的に思えますが・・

ちなみに、saslauthdデーモンは起動してますよね?
メンテ
 Re: ログファイルに大量の ( No.5 )
日時: 2006/02/19 14:08
名前: 初心者

ご返信ありがとうございます。
>まず、アタックされているか見極めましょう。
>ネットから切り離して、2〜3分ほっておきます。

LANケーブルを全てはずし、試したところ、ログは記載されませんでした。
LANケーブルを繋いだ途端にログが吐き出されてきました。
やはり攻撃を受けているのでしょうか?
Feb 19 14:01:46 host kernel: tg3: eth2: Link is down.
Feb 19 14:01:48 host kernel: eth0: link down
Feb 19 14:01:50 host kernel: eth1: link down
Feb 19 14:04:09 host kernel: eth0: link up, 100Mbps, full-duplex, lpa 0x45E1
Feb 19 14:04:15 host kernel: eth1: link up, 100Mbps, full-duplex, lpa 0x45E1
Feb 19 14:04:21 host kernel: tg3: eth2: Link is up at 100 Mbps, full duplex.
Feb 19 14:04:21 host kernel: tg3: eth2: Flow control is on for TX and on for RX.
Feb 19 14:04:21 host kernel: tg3: eth2: Link is down.
Feb 19 14:04:23 host kernel: tg3: eth2: Link is up at 100 Mbps, full duplex.
Feb 19 14:04:23 host kernel: tg3: eth2: Flow control is on for TX and on for RX.
Feb 19 14:04:35 host dovecot(pam_unix)[15422]: check pass; user unknown
Feb 19 14:04:35 host dovecot(pam_unix)[15422]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= 
Feb 19 14:05:35 host dovecot(pam_unix)[15506]: check pass; user unknown
Feb 19 14:05:35 host dovecot(pam_unix)[15506]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= 
Feb 19 14:06:35 host dovecot(pam_unix)[15543]: check pass; user unknown
Feb 19 14:06:35 host dovecot(pam_unix)[15543]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= 

>ちなみに、saslauthdデーモンは起動してますよね?
はい起動確認いたしました。
何かあと必要な資料がいるようでしたらご指摘下さい。
何もなければいいのですが、ログが肥大してきて結構うっとうしいもので(^-^;
メンテ

Page:  [1] [2] [3] [4]

■ その他

ページ先頭へ

Copyright(©)2004-2018 First home server construction. All Right Reserved.