pop3-login PLAINだめだこりゃ

メール録画予約で、予約メールの確認方法が pop3 で、apop か PLAIN しか使えないので、 自宅サーバ上に、pop3 / PLAIN 接続ができるようにした。 しかし、半日ほど運用していると、プロセス数がなんか多い。

"ps ax"で確認すると、"dovecot/auth -w"の量が定常的に30件ほど出てくるようになった。 何らかのプロセスがブロックしているのかと思ったら、プロセス数は増えたり減ったり。 ブロックしているなら、時間と共に増加傾向があるはず。そこで syslog を見ると、

Oct 17 16:15:05 hostname dovecot: pop3-login: Aborted login
   (auth failed, 1 attempts in 20 secs): user=,
    method=PLAIN, rip=37.49.224.10, lip=192.168.xx.xx,
    session=<bg+4qkciNAAlMeAK>

みたいなのが、続々と表示される。攻撃相手のアカウント探しみたい。 ファイアウォールで dovecot 関連は、pop3s に限っていたとはいえ、 こういう攻撃をうけるのね。

早々に、dovecotでPLAINを禁止し、FireWallのpop3sを閉じ、メール録画予約も取りやめ。 確認のために、前述の dovecot のLOGを確認すると、どうも中国人が利用しているサーバを想定したパスワード探索をしている。

    145 user=liu,
    145 user=lee,
    145 user=huang,
    145 user=chen,
    116 user=yu,
    116 user=yang,
    116 user=wu,
    116 user=wang,
    116 user=lu,
    116 user=lin,
    116 user=li,
    116 user=cheng,
 

2017年2月

      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28        

ウェブページ

アーカイブ

Webデータ

このブログ記事について

このページは、T-Saitohが2015年10月17日 18:41に書いたブログ記事です。

ひとつ前のブログ記事は「番組のメール録画のフォーム」です。

次のブログ記事は「ねこあつめストラップ」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。