メール録画予約で、予約メールの確認方法が pop3 で、apop か PLAIN しか使えないので、 自宅サーバ上に、pop3 / PLAIN 接続ができるようにした。 しかし、半日ほど運用していると、プロセス数がなんか多い。
"ps ax"で確認すると、"dovecot/auth -w"の量が定常的に30件ほど出てくるようになった。 何らかのプロセスがブロックしているのかと思ったら、プロセス数は増えたり減ったり。 ブロックしているなら、時間と共に増加傾向があるはず。そこで syslog を見ると、
Oct 17 16:15:05 hostname dovecot: pop3-login: Aborted login (auth failed, 1 attempts in 20 secs): user=, method=PLAIN, rip=37.49.224.10, lip=192.168.xx.xx, session=<bg+4qkciNAAlMeAK>
みたいなのが、続々と表示される。攻撃相手のアカウント探しみたい。 ファイアウォールで dovecot 関連は、pop3s に限っていたとはいえ、 こういう攻撃をうけるのね。
早々に、dovecotでPLAINを禁止し、FireWallのpop3sを閉じ、メール録画予約も取りやめ。 確認のために、前述の dovecot のLOGを確認すると、どうも中国人が利用しているサーバを想定したパスワード探索をしている。
145 user=liu, 145 user=lee, 145 user=huang, 145 user=chen, 116 user=yu, 116 user=yang, 116 user=wu, 116 user=wang, 116 user=lu, 116 user=lin, 116 user=li, 116 user=cheng,