本日 11:30頃 ルーターのアクセスランプがいつもと違うパターンで点滅して、HDDもなにやらゴロゴロ鳴っている事に気付いた。
何だ?とサーバーのログを確認してみたら、メールサービスのログが高速でスクロールしている。
そして以下のようなログが大量に残っている。
Jul 20 11:30:25 myhost sm-mta[26911]: q6K2UJd3026911: mail.cwrightdesign.com [70.90.160.61] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4 Jul 20 11:30:25 myhost sm-mta[26912]: q6K2UJv7026912: mail.cwrightdesign.com [70.90.160.61] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4 Jul 20 11:30:25 myhost sm-mta[26910]: q6K2UJBF026910: mail.cwrightdesign.com [70.90.160.61] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4 Jul 20 11:30:25 myhost sm-mta[26908]: q6K2UJDh026908: mail.cwrightdesign.com [70.90.160.61] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4 Jul 20 11:30:26 myhost sm-mta[26899]: q6K2UIRo026899: mail.cwrightdesign.com [70.90.160.61] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4 Jul 20 11:30:28 myhost sm-mta[26906]: q6K2UJOt026906: mail.cwrightdesign.com [70.90.160.61] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4 Jul 20 11:30:38 myhost sm-mta[1366]: accepting connections again for daemon IPv4 Jul 20 11:30:38 myhost sm-mta[1366]: accepting connections again for daemon IPv6 Jul 20 11:30:38 myhost sm-mta[1366]: accepting connections again for daemon MSA Jul 20 11:30:39 myhost sm-mta[1366]: rejecting connections on daemon IPv4: 15 children, max 15 Jul 20 11:30:39 myhost sm-mta[1366]: rejecting connections on daemon IPv6: 15 children, max 15 Jul 20 11:30:39 myhost sm-mta[1366]: rejecting connections on daemon MSA: 15 children, max 15 Jul 20 11:30:46 myhost sm-mta[26922]: q6K2Ucss026922: mail.cwrightdesign.com [70.90.160.61] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4 Jul 20 11:30:46 myhost sm-mta[26927]: q6K2Uecg026927: mail.cwrightdesign.com [70.90.160.61] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4
HELO だけ送って、その後コネクションを放置するSYNフラッドタイプか?
こんなことしてもサーバーに侵入出来る訳じゃなく、一時的にメールの受信が遅延する可能性があるだけの話。単一ホストからの攻撃だから、コマンド一発で防衛出来る。今回はファイヤーウォールで遮断する事にして以下のコマンドを発行。
# ipfw add 1000 deny tcp from 70.90.160.61 to me 25 in setup
これで完全にブロック。こんなところは FreeBSD はデフォルトコマンドが充実していてありがたい。
さて、攻撃してきたIPをチェックしてみると、
~> whois 70.90.160.61 Private Customer COMCASTBUSINESSCLASS (NET-70-90-160-56-1) 70.90.160.56 - 70.90.160.63
と出てきた。個人か、小規模ビジネス用に割り当てられたサブネットみたい。おそらくたまたま侵入出来たホストに遊び感覚で攻撃プログラムを仕掛けたんだろうね。今回は単一ホストからの攻撃だから被害はないけど、乗っ取ったホストが世界中にあって、同期分散攻撃で世界中からメールサービスに接続されるとちょっと面倒になるかもしれない。複数ホストを使われれると、単純に考えると攻撃ホストの数だけフィルター条件が必要になるからフィルターの数が足りなくなる可能性もある。その場合の対策も考えてあるので、サーバーの異常に気が付けば防げるでしょうが、そもそも私のサーバーのメールサービス妨害を出来たとしてどんな意味があるか?短時間サーバー自体が停止したとして誰も困らないんじゃないかという気がする。
ただし、踏み台にはさせない。
これ以上調べても何か出来る訳じゃないので、調査は終了。ファイヤーウォールにくわえた条件は暫定的で次回ホストリブートまで有効。