POP3への辞書攻撃と我が対策

September 16, 2009 – 2:46 pm

今朝、我がメールサーバー(POP3)が辞書攻撃を受けた。SSHについては対策をとっていたのだが(ここに記述)、メールサーバーについては特段の対応をとっていなかった。今回のアタックの具体的内容と今回とった対策についてメモしておいた。

我がサーバーが反応しなくなった: いつもの感じで、SSH経由で作業をしていると、突然、サーバーとの通信に遅延が生じ、やがて通信できなくなってしまった。サーバーの上流にある(ブロードバンド)ルーターのインディケーターが点滅していることから、どうも不正アタックを受けていることが疑われた。

とりあえず、ルーターをリセット(電源を一旦切っただけ)してみた。一旦、回線は復帰するものの、再び、同様な状態が発生。結局、サーバーがハングアップしてしまった。

サーバーをリブートした後、サーバーのログをいろいろしらべてみると、maillogが以下のようになっている(一部のみ、編集後)。

 

Sep 16 10:34:19 ServerName dovecot: pop3-login: Aborted login: user=<root>, method=PLAIN, rip=::ffff:200.57.91.104, lip=::ffff:192.168.1.101
Sep 16 10:34:21 ServerName dovecot: pop3-login: Aborted login: user==<user>, method=PLAIN, rip=::ffff:200.57.91.104, lip=::ffff:192.168.1.101
Sep 16 10:34:21 ServerName dovecot: pop3-login: Aborted login: user==<admin>, method=PLAIN, rip=::ffff:200.57.91.104, lip=::ffff:192.168.1.101
Sep 16 10:34:21 ServerName dovecot: pop3-login: Aborted login: user==<webmaster>, method=PLAIN, rip=::ffff:200.57.91.104, lip=::ffff:192.168.1.101
Sep 16 10:34:21 ServerName dovecot: pop3-login: Aborted login: user==<test>, method=PLAIN, rip=::ffff:200.57.91.104, lip=::ffff:192.168.1.101
Sep 16 10:34:21 ServerName dovecot: pop3-login: Aborted login: user==<web>, method=PLAIN, rip=::ffff:200.57.91.104, lip=::ffff:192.168.1.101
Sep 16 10:34:21 ServerName dovecot: pop3-login: Aborted login: user==<www>, method=PLAIN, rip=::ffff:200.57.91.104, lip=::ffff:192.168.1.101

明らかに、POP3が辞書攻撃を受けている。

 

一応の対策をとることにした: どのように措置すべきか考えてみた。不正なアクセスをしてきているIPアドレスを弾くことも考えてみたが、同種の攻撃を異なる発信源から受けることも考えられる。ということで、以下のように、ipatableを用いて、特定のアドレスからのPOP3(110番ポート)へのアクセス頻度を制限することにした。

対策以前:

# 外部からのTCP110番ポート(POP3)へのアクセスを許可
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT

 

対策後:

# 外部からのTCP110番ポート(POP3)へのアクセスを制限つきで許可
/sbin/iptables -A INPUT -p tcp -m state --syn --state NEW --dport 110 -m limit --limit 1/second --limit-burst 1 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m state --syn --state NEW --dport 110 -j DROP

 

この方式、以前、SSH(ポート22)へのアタック対策に用いたのと同じものである。具体的には、110番ポートへの外部からの接続があった場合、一定時間が経過するあいだは、このポートへの接続要求を受け付けないようにする。

この方式で、POP3へのアタックを撃退できるかどうか定かではないが、ひとまず、様子をみることにした。

それにしても、このような不正アタックの存在、困ったものだ。


  1. 4 Responses to “POP3への辞書攻撃と我が対策”

  2. 一昨年の記事に激遅コメントで恐縮ですが、この対策を施したのちの、成果のほどは如何でしたでしょうか?
    弊プライベートサイトでも dovecot が同様の攻撃を受けたため、貴サイトのこの記事を参考にさせて頂こうと考えています。

    By ysh on Jun 24, 2011

  3. dovecotへの攻撃対策について、
    残念ながら、期待した効果はでていません。同種の攻撃があります。
    再度、検討しなくてはと思っているところです。

    By yama on Jun 25, 2011

  1. 2 Trackback(s)

  2. Sep 24, 2009: 我がWebサーバーが「攻撃」されたようだ! | Yama's Memorandum
  3. Nov 11, 2011: Blobie

Post a Comment