深夜の時間帯にモデムのアクセスランプが連続して点滅し、HDDもカリカリ鳴り続けていることに気がつきました。
パッケージの更新を行っていてビルドの最中だったため、しばらく無視していたのですが、ファイヤーウォールログに目をやると、次のようなログが流れていて、pop3 メールサーバーへのアクセスでした。長いのでログの途中をカットしていますが、23時過ぎから pop3 ポート110 へアクセスが始まり、延々と5時半頃まで約6時間続いています。
Nov 18 23:35:26 ipfw: TCP 87.236.211.187:2086 116.58.172.107:110 Nov 18 23:35:28 ipfw: TCP 87.236.211.187:1925 116.58.172.107:110 Nov 18 23:35:29 ipfw: TCP 87.236.211.187:3960 116.58.172.107:110 Nov 18 23:35:29 ipfw: TCP 87.236.211.187:4834 116.58.172.107:110 Nov 18 23:35:29 ipfw: TCP 87.236.211.187:1177 116.58.172.107:110 Nov 18 23:35:30 ipfw: TCP 87.236.211.187:4716 116.58.172.107:110 Nov 18 23:35:30 ipfw: TCP 87.236.211.187:1582 116.58.172.107:110 Nov 18 23:35:31 ipfw: TCP 87.236.211.187:1161 116.58.172.107:110 Nov 18 23:35:31 ipfw: TCP 87.236.211.187:2001 116.58.172.107:110 Nov 18 23:35:33 ipfw: TCP 87.236.211.187:4943 116.58.172.107:110
Nov 19 00:04:00 ipfw: TCP 87.236.211.187:2280 116.58.172.107:110 Nov 19 00:04:00 ipfw: TCP 87.236.211.187:2619 116.58.172.107:110
Nov 19 01:07:07 ipfw: TCP 87.236.211.187:4414 116.58.172.107:110 Nov 19 01:07:08 ipfw: TCP 87.236.211.187:4658 116.58.172.107:110
Nov 19 02:24:28 ipfw: TCP 87.236.211.187:2916 116.58.172.107:110 Nov 19 02:24:28 ipfw: TCP 87.236.211.187:2317 116.58.172.107:110
Nov 19 03:00:17 ipfw: TCP 87.236.211.187:1834 116.58.172.107:110
Nov 19 04:31:00 ipfw: TCP 87.236.211.187:3873 116.58.172.107:110
Nov 19 05:03:22 ipfw: TCP 87.236.211.187:1892 116.58.172.107:110
Nov 19 05:20:08 ipfw: TCP 87.236.211.187:3900 116.58.172.107:110
Nov 19 05:24:06 ipfw: TCP 87.236.211.187:4659 116.58.172.107:110
私のメールサーバへのPOP3アクセスは、当然パスワードが必要ですし、利用者のみがアクセスできるようにアクセスコントロールしているため、どんなに連続アクセスしようと侵入することは不可能になっています。そもそも、パスワードの前にアカウントがわからないだろうに、、、、
また、inetd の機能により、同一IPアドレスから一度に接続できるコネクション数を制限しているため、最初の数回は真面目にログに記録されるものの、それ以降は回数をカウントするだけなのでアクセスログを記録する message ログファイルファイルをオーバーフローさせられる心配も無し。
</var/log/message> の該当箇所 Nov 18 23:35:30 inetd[1393]: pop3 from 87.236.211.187 exceeded counts/min (limit 6/min) Nov 18 23:36:01 last message repeated 76 times Nov 18 23:38:02 last message repeated 196 times Nov 18 23:48:03 last message repeated 952 times Nov 18 23:58:04 last message repeated 950 times Nov 19 00:08:05 last message repeated 928 times Nov 19 00:18:06 last message repeated 942 times Nov 19 00:28:07 last message repeated 892 times Nov 19 00:38:08 last message repeated 888 times Nov 19 00:48:09 last message repeated 880 times Nov 19 00:58:10 last message repeated 844 times Nov 19 01:08:11 last message repeated 859 times Nov 19 01:18:12 last message repeated 910 times Nov 19 01:28:13 last message repeated 846 times Nov 19 01:38:14 last message repeated 808 times Nov 19 01:48:15 last message repeated 786 times Nov 19 01:58:16 last message repeated 821 times Nov 19 02:08:17 last message repeated 830 times Nov 19 02:18:18 last message repeated 683 times Nov 19 02:28:19 last message repeated 717 times Nov 19 02:38:16 last message repeated 689 times Nov 19 02:48:19 last message repeated 703 times
認証を記録する auth.log ファイルの記録
</var/log/auth.log> Nov 18 23:35:27 tokyo inetd[89288]: twist 87.236.211.187 to /bin/echo "You are not welcome to use qpopper from 87.236.211.187." Nov 18 23:35:29 tokyo inetd[89289]: twist 87.236.211.187 to /bin/echo "You are not welcome to use qpopper from 87.236.211.187." Nov 18 23:35:29 tokyo inetd[89290]: twist 87.236.211.187 to /bin/echo "You are not welcome to use qpopper from 87.236.211.187." Nov 18 23:35:29 tokyo inetd[89291]: twist 87.236.211.187 to /bin/echo "You are not welcome to use qpopper from 87.236.211.187." Nov 18 23:35:30 tokyo inetd[89292]: twist 87.236.211.187 to /bin/echo "You are not welcome to use qpopper from 87.236.211.187." Nov 18 23:35:30 tokyo inetd[89293]: twist 87.236.211.187 to /bin/echo "You are not welcome to use qpopper from 87.236.211.187."
確かにファイヤーウォールのログファイルだけは増加していきますが、自動ローテートするのでそれほど気にする必要も無し。まあ、古いログが予想以上に早く消えてしまうという害はあるかもしれませんが。
今回は TCP Port 110 への連続アクセスでしたが、月に何度かこういう連続アクセスが発生しています。たとえば telnet port 25 とか ssh port 22 とか。同時に複数のIPアドレスからアクセスされれば分散DoS攻撃かと推測しますが、私のサーバーを狙っても誰も困る人はいないわけですから連続アクセスする意味がわからない。アタッカーは、サーバーが高負荷になってダウンしたりWebサーバーがダウンするとでも思っているのだろうか?
なにを目的にしているんでしょうね~?
頭が悪い奴が考えることはわからん!