ホーム » コンピュータ » Linux » Debian » pop3-login PLAINだめだこりゃ

システム

最近の投稿

  • 日立洗濯機API
    日立の洗濯機は WiFi で接続できるので、nmap をかけてみたが、反応なし。 でも何気なく「日立 洗濯機 […]
  • iPhoneバッテリー交換サービス
    AppleCare入ってたっけ? 無償って出てるし、予約してみた。 「調べると 80% […]
  • curl で switchbot API v1.1 を呼出す
    Amazon タイムセールで、SwitchBot CO2 センサー付き温湿度計の割引がでていたので、Hub […]
  • Windows 11 Upgrade できるようになった!?
    とっくの昔に、Win11 Upgrade不可能と診断されてたんだけど、なんで今頃 Upgrade […]
  • 文殊山
    最近、運動不足のなか、熊ニュースも多くて山ハイキングができてなかったけど、今シーズン最初の文殊山。 […]

アーカイブ

カテゴリー

pop3-login PLAINだめだこりゃ

メール録画予約で、予約メールの確認方法が pop3 で、apop か PLAIN しか使えないので、 自宅サーバ上に、pop3 / PLAIN 接続ができるようにした。 しかし、半日ほど運用していると、プロセス数がなんか多い。

"ps ax"で確認すると、"dovecot/auth -w"の量が定常的に30件ほど出てくるようになった。 何らかのプロセスがブロックしているのかと思ったら、プロセス数は増えたり減ったり。 ブロックしているなら、時間と共に増加傾向があるはず。そこで syslog を見ると、

Oct 17 16:15:05 hostname dovecot: pop3-login: Aborted login
(auth failed, 1 attempts in 20 secs): user=,
method=PLAIN, rip=37.49.224.10, lip=192.168.xx.xx,
session=<bg+4qkciNAAlMeAK>

みたいなのが、続々と表示される。攻撃相手のアカウント探しみたい。 ファイアウォールで dovecot 関連は、pop3s に限っていたとはいえ、 こういう攻撃をうけるのね。

早々に、dovecotでPLAINを禁止し、FireWallのpop3sを閉じ、メール録画予約も取りやめ。 確認のために、前述の dovecot のLOGを確認すると、どうも中国人が利用しているサーバを想定したパスワード探索をしている。

145 user=liu,
145 user=lee,
145 user=huang,
145 user=chen,
116 user=yu,
116 user=yang,
116 user=wu,
116 user=wang,
116 user=lu,
116 user=lin,
116 user=li,
116 user=cheng,

Google 検索

My Google   Yahoo

Microsoft

ファンサイト