FreeBSD13.2: メールサーバーへの意味不明攻撃

ここ数日、私のサーバーの SMTPポート25へ、意味の分からないアタックが発生中。

日によって攻撃元が異なるものの、とても短い時間間隔でTCPポート25 へ連続アクセスが発生しています。

Dec 21 23:34:12 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:34:13 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:34:16 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:34:22 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:34:24 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:34:26 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:34:29 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:34:34 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:34:35 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:34:37 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:34:39 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:34:42 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:34:48 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:34:55 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:35:01 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:35:14 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:35:14 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:35:15 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:35:18 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:35:18 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:35:19 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:35:22 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:35:27 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:35:28 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:35:29 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:35:30 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0
Dec 21 23:35:31 smtpsvr kernel: ipfw: 8002 Accept TCP 140.238.15.136:25565 116.58.172.107:25 in via tun0

Dec 22 22:46:53 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:40673 116.58.172.107:25 in via tun0
Dec 22 22:47:07 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:37790 116.58.172.107:25 in via tun0
Dec 22 22:47:20 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:52293 116.58.172.107:25 in via tun0
Dec 22 22:47:33 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:23041 116.58.172.107:25 in via tun0
Dec 22 22:47:47 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:6476 116.58.172.107:25 in via tun0
Dec 22 22:48:00 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:54574 116.58.172.107:25 in via tun0
Dec 22 22:48:13 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:53276 116.58.172.107:25 in via tun0
Dec 22 22:48:27 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:19981 116.58.172.107:25 in via tun0
Dec 22 22:48:40 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:15618 116.58.172.107:25 in via tun0
Dec 22 22:48:53 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:47157 116.58.172.107:25 in via tun0
Dec 22 22:49:06 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:21306 116.58.172.107:25 in via tun0
Dec 22 22:49:20 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:30611 116.58.172.107:25 in via tun0
Dec 22 22:49:33 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:51193 116.58.172.107:25 in via tun0
Dec 22 22:49:46 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:29842 116.58.172.107:25 in via tun0
Dec 22 22:50:00 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:19065 116.58.172.107:25 in via tun0
Dec 22 22:50:13 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:32649 116.58.172.107:25 in via tun0
Dec 22 22:50:26 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:52016 116.58.172.107:25 in via tun0
Dec 22 22:50:40 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:10262 116.58.172.107:25 in via tun0
Dec 22 22:50:53 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:16066 116.58.172.107:25 in via tun0
Dec 22 22:51:06 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:19732 116.58.172.107:25 in via tun0
Dec 22 22:51:20 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:1796 116.58.172.107:25 in via tun0
Dec 22 22:51:33 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:4265 116.58.172.107:25 in via tun0
Dec 22 22:51:46 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:41020 116.58.172.107:25 in via tun0
Dec 22 22:51:59 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:14037 116.58.172.107:25 in via tun0
Dec 22 22:52:13 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:34195 116.58.172.107:25 in via tun0
Dec 22 22:52:26 smtpsvr kernel: ipfw: 8002 Accept TCP 87.51.87.46:52830 116.58.172.107:25 in via tun0

Dec 23 22:46:58 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:41853 116.58.172.107:25 in via tun0
Dec 23 22:47:01 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:50435 116.58.172.107:25 in via tun0
Dec 23 22:47:02 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:6007 116.58.172.107:25 in via tun0
Dec 23 22:47:03 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:39697 116.58.172.107:25 in via tun0
Dec 23 22:47:03 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:6007 116.58.172.107:25 in via tun0
Dec 23 22:47:06 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:41853 116.58.172.107:25 in via tun0
Dec 23 22:47:08 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:50435 116.58.172.107:25 in via tun0
Dec 23 22:47:09 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:32471 116.58.172.107:25 in via tun0
Dec 23 22:47:10 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:50435 116.58.172.107:25 in via tun0
Dec 23 22:47:13 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:39697 116.58.172.107:25 in via tun0
Dec 23 22:47:14 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:6007 116.58.172.107:25 in via tun0
Dec 23 22:47:17 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:32471 116.58.172.107:25 in via tun0
Dec 23 22:47:17 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:39697 116.58.172.107:25 in via tun0
Dec 23 22:47:19 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:50435 116.58.172.107:25 in via tun0
Dec 23 22:47:21 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:24841 116.58.172.107:25 in via tun0
Dec 23 22:47:21 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:6007 116.58.172.107:25 in via tun0
Dec 23 22:47:26 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:32471 116.58.172.107:25 in via tun0
Dec 23 22:47:28 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:39697 116.58.172.107:25 in via tun0
Dec 23 22:47:28 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:32471 116.58.172.107:25 in via tun0
Dec 23 22:47:30 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:24841 116.58.172.107:25 in via tun0
Dec 23 22:47:30 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:6007 116.58.172.107:25 in via tun0
Dec 23 22:47:33 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:29441 116.58.172.107:25 in via tun0
Dec 23 22:47:35 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:39697 116.58.172.107:25 in via tun0
Dec 23 22:47:36 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:39697 116.58.172.107:25 in via tun0
Dec 23 22:47:38 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:24841 116.58.172.107:25 in via tun0
Dec 23 22:47:40 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:24841 116.58.172.107:25 in via tun0
Dec 23 22:47:41 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:32471 116.58.172.107:25 in via tun0
Dec 23 22:47:43 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:39697 116.58.172.107:25 in via tun0
Dec 23 22:47:43 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:29441 116.58.172.107:25 in via tun0
Dec 23 22:47:46 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:41034 116.58.172.107:25 in via tun0
Dec 23 22:47:48 smtpsvr kernel: ipfw: 8002 Accept TCP 35.214.140.121:32471 116.58.172.107:25 in via tun0

このリストは、ワイヤーウォールログから一部を抽出したものですが、不思議なことに、これらの時刻に対応するメールサーバーログは一切存在しません。

ファイヤーウォールは通過しているものの、sendmail の、smtp ポートへの接続は行っていないということになります。

私のサーバーのファイヤーウォールは、接続段階のSYNパケットが届いた段階で、日本国外のパケットは拒否する設定にしてあるので、本来、上記リストのパケットがファイヤーウォールをすり抜けるわけがないのですが、なぜか拒否されていない。しかも、メールサーバーログにも記録がない。

どういうこと?SYNパケットじゃなく、Establish パケットを送ってきているってこと?いやいや、フィルター番号から、SYNパケットを記録しているはず。
迷惑メールを送ろうとしているのではなく、セッション乗っ取りを試みているってこと?記録しているのがSYNパケットだけなので、よくわからない。

メールサーバーのSMTPセッションを乗っ取るなんて、なんか意味あるのかい?その前に、そういうことが可能なのか?
セッションを乗っ取るためには、SMTPの空いてポート(25じゃない方)を合わせて、さらにシーケンス番号を合わせないといけない。サーバーのポートを常に監視できるのなら可能かもしれませんけど、全く縁もゆかりもない遠隔地からやるのは不可能でしょう。メールパケットなんて完全に非同期だし。

仮にセッションを乗っ取ることが出来たとして、何が起きる?

私のサーバーの送信時だったら、ポート番号が異なるので、セッションは乗っ取れない。
受信時にうまく乗っ取れたなら、メール一通の内容だけ、途中からヘッダーとは異なる内容になる。(普通のメールが途中から迷惑メールに変わる)バイナリーをエンコードしたものを送れば、ウィルスを関せさせた添付書類を送りつけたり、メールサーバーのスプールが枯れるまで巨大なメッセージを送りつけられるってことかな?メール本文が壊れたメッセージを受け取った場合の取り扱いはメールクライアントによって異なるので、ただの文字化けメールに見えて、即削除されておしまいってことになる可能性大。
普通メールサーバーはメッセージサイズ上限を設定してあるのでスプールを埋め尽くすことは無理そう。

奇跡的な穴を通そうとする割には、予想させる結果がお粗末。

本当に、一体何を目的とした攻撃何だろうか?

Updated: 2023/12/24 at 00:07

コメントを残す