www24004u.sakura.ne.jp から、メールサーバーへの攻撃発生

サーバーのHDDがやけにガリガリ鳴っているな~と、ふと、ターミナルエミュレータの画面に目をやってみると、ファイヤーウォールログが異常な早さでスクロールしていました。

以下のログのとおり、port 110 と 25 へ毎秒数回の接続を試みているようです。
これが約6分間続きました。

Nov 25 15:11:36  Accept TCP 49.212.10.42:59509 116.58.172.107:110
Nov 25 15:11:37  Accept TCP 49.212.10.42:40195 116.58.172.107:25
Nov 25 15:11:37  Accept TCP 49.212.10.42:59545 116.58.172.107:110
Nov 25 15:11:37  Accept TCP 49.212.10.42:40239 116.58.172.107:25
Nov 25 15:11:37  Accept TCP 49.212.10.42:59594 116.58.172.107:110
Nov 25 15:11:37  Accept TCP 49.212.10.42:40281 116.58.172.107:25
Nov 25 15:11:38  Accept TCP 49.212.10.42:59636 116.58.172.107:110
Nov 25 15:11:38  Accept TCP 49.212.10.42:40325 116.58.172.107:25
Nov 25 15:11:38  Accept TCP 49.212.10.42:59681 116.58.172.107:110
Nov 25 15:11:38  Accept TCP 49.212.10.42:40373 116.58.172.107:25
Nov 25 15:11:38  Accept TCP 49.212.10.42:59723 116.58.172.107:110
Nov 25 15:11:39  Accept TCP 49.212.10.42:40409 116.58.172.107:25
Nov 25 15:11:39  Accept TCP 49.212.10.42:59762 116.58.172.107:110
Nov 25 15:11:39  Accept TCP 49.212.10.42:40448 116.58.172.107:25
Nov 25 15:11:39  Accept TCP 49.212.10.42:59799 116.58.172.107:110
Nov 25 15:11:39  Accept TCP 49.212.10.42:40481 116.58.172.107:25
Nov 25 15:11:39  Accept TCP 49.212.10.42:59843 116.58.172.107:110
Nov 25 15:11:39  Accept TCP 49.212.10.42:40528 116.58.172.107:25
Nov 25 15:11:40  Accept TCP 49.212.10.42:59882 116.58.172.107:110
Nov 25 15:11:40  Accept TCP 49.212.10.42:40568 116.58.172.107:25
Nov 25 15:11:40  Accept TCP 49.212.10.42:59934 116.58.172.107:110
Nov 25 15:11:40  Accept TCP 49.212.10.42:40618 116.58.172.107:25
省略
Nov 25 15:17:31  Accept TCP 49.212.10.42:57998 116.58.172.107:25
Nov 25 15:17:31  Accept TCP 49.212.10.42:49125 116.58.172.107:110
Nov 25 15:17:32  Accept TCP 49.212.10.42:58046 116.58.172.107:25
Nov 25 15:17:32  Accept TCP 49.212.10.42:49168 116.58.172.107:110
Nov 25 15:17:32  Accept TCP 49.212.10.42:58089 116.58.172.107:25
Nov 25 15:17:32  Accept TCP 49.212.10.42:49209 116.58.172.107:110
Nov 25 15:17:32  Accept TCP 49.212.10.42:58127 116.58.172.107:25
Nov 25 15:17:32  Accept TCP 49.212.10.42:49254 116.58.172.107:110
Nov 25 15:17:33  Accept TCP 49.212.10.42:58172 116.58.172.107:25
Nov 25 15:17:33  Accept TCP 49.212.10.42:49295 116.58.172.107:110
Nov 25 15:17:33  Accept TCP 49.212.10.42:58223 116.58.172.107:25
Nov 25 15:17:33  Accept TCP 49.212.10.42:49354 116.58.172.107:110
Nov 25 15:17:33  Accept TCP 49.212.10.42:58271 116.58.172.107:25
Nov 25 15:17:33  Accept TCP 49.212.10.42:49400 116.58.172.107:110

また「海外からの嫌がらせアクセスかよ~」と、メールログを見てみると、

Nov 25 15:17:31 tokyo sm-mta[53692]: rAP6HVOG053692: www24004u.sakura.ne.jp [49.212.10.42] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4
Nov 25 15:17:31 tokyo sm-mta[53693]: rAP6HVdB053693: www24004u.sakura.ne.jp [49.212.10.42] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4
Nov 25 15:17:32 tokyo sm-mta[53694]: rAP6HWx9053694: www24004u.sakura.ne.jp [49.212.10.42] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4
Nov 25 15:17:32 tokyo sm-mta[53695]: rAP6HWdT053695: www24004u.sakura.ne.jp [49.212.10.42] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4
Nov 25 15:17:32 tokyo sm-mta[53696]: rAP6HWHO053696: www24004u.sakura.ne.jp [49.212.10.42] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4
Nov 25 15:17:33 tokyo sm-mta[53697]: rAP6HXgk053697: www24004u.sakura.ne.jp [49.212.10.42] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4
Nov 25 15:17:33 tokyo sm-mta[53698]: rAP6HXGo053698: www24004u.sakura.ne.jp [49.212.10.42] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4
Nov 25 15:17:33 tokyo sm-mta[53699]: rAP6HXqr053699: www24004u.sakura.ne.jp [49.212.10.42] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4

今回は、海外サイトからではなく国内でサーバー事業を行っているさくらインターネットからのようです。ホスト名にwwwが作って事は一般のPCじゃなく、ユーザーに貸し出しているレンタルサーバーからの攻撃??
私はさくらインターネットを利用したことがないため、この事業者のサービスは知らないのですが、事業者のホームページとIPアドレスに割り振られているノード名から推測すると、さくらインターネットが貸し出しているサーバーの一部が乗っ取られて悪用されているか、契約している正規利用者がプロバイダーが利用可能状態にしているコマンドやAPIを操作して他人のサーバーに正常ではないアクセスしているか、プログラムを書き間違って慌てて止めたか、、、、ということが考えられます。しかし、テストするなら自分のノードに対してテストするでしょうから、プログラムを書き間違ったというのは可能性が低そうです。

この程度のアクセスでは私のサーバーにダメージを与えられないのでどうってことありませんが、国内の、しかもレンタルサーバー事業者のサーバーから嫌がらせアクセスをうけるというのは気分が悪い。

とりあえず、49.212.10.42 からのパケットは全て受信拒否に設定することにしました。
sakura.ne.jp にも電子メールで同様の情報を送っておきましたが、特に対応を依頼した訳じゃないので、この後どうなるかは不明。無視されて終わりって気がしています。

コメントを残す