ホーム » コンピュータ » Linux » Debian » pop3-login PLAINだめだこりゃ

システム

最近の投稿

  • 日立洗濯機API
    2024-10-29
    日立の洗濯機は WiFi で接続できるので、nmap をかけてみたが、反応なし。 でも何気なく「日立 洗濯機 […]
  • iPhoneバッテリー交換サービス
    2024-10-27
    AppleCare入ってたっけ? 無償って出てるし、予約してみた。 「調べると 80% […]
  • curl で switchbot API v1.1 を呼出す
    2024-10-25
    Amazon タイムセールで、SwitchBot CO2 センサー付き温湿度計の割引がでていたので、Hub […]
  • Windows 11 Upgrade できるようになった!?
    2024-10-23
    とっくの昔に、Win11 Upgrade不可能と診断されてたんだけど、なんで今頃 Upgrade […]
  • 文殊山
    2024-10-13
    最近、運動不足のなか、熊ニュースも多くて山ハイキングができてなかったけど、今シーズン最初の文殊山。 […]

アーカイブ

カテゴリー

pop3-login PLAINだめだこりゃ

投稿者: in Debian 投稿日:

メール録画予約で、予約メールの確認方法が pop3 で、apop か PLAIN しか使えないので、 自宅サーバ上に、pop3 / PLAIN 接続ができるようにした。 しかし、半日ほど運用していると、プロセス数がなんか多い。

"ps ax"で確認すると、"dovecot/auth -w"の量が定常的に30件ほど出てくるようになった。 何らかのプロセスがブロックしているのかと思ったら、プロセス数は増えたり減ったり。 ブロックしているなら、時間と共に増加傾向があるはず。そこで syslog を見ると、 

Oct 17 16:15:05 hostname dovecot: pop3-login: Aborted login
(auth failed, 1 attempts in 20 secs): user=,
method=PLAIN, rip=37.49.224.10, lip=192.168.xx.xx,
session=<bg+4qkciNAAlMeAK>

みたいなのが、続々と表示される。攻撃相手のアカウント探しみたい。 ファイアウォールで dovecot 関連は、pop3s に限っていたとはいえ、 こういう攻撃をうけるのね。

早々に、dovecotでPLAINを禁止し、FireWallのpop3sを閉じ、メール録画予約も取りやめ。 確認のために、前述の dovecot のLOGを確認すると、どうも中国人が利用しているサーバを想定したパスワード探索をしている。 

145 user=liu,
145 user=lee,
145 user=huang,
145 user=chen,
116 user=yu,
116 user=yang,
116 user=wu,
116 user=wang,
116 user=lu,
116 user=lin,
116 user=li,
116 user=cheng,

Google 検索

My Google   Yahoo

Microsoft

ファンサイト