執拗なメール攻撃者との戦い

ここ数年でしょうか,SMTPでメールを送り込もうという試みが繰り返されています.認証の設定の不備を発見してSPAMの踏み台にしようとしているのではないかと推測しています.

sendmailのログは1年間保存しています.そこから, “AUTH failure” または “Access denied”を含む行のIPアドレスを集めました.これはsed, uniq, sortなどのunix/linuxに標準的についてくるツールでできます.

こちらのMTAに対してどこの馬の骨か解らないIPアドレスからメールを送り込もうと接続してきたら,こちらからは「認証が必要だよ」と返すので,なんか適当なuser IDとパスワードを送ってきます.ちまたに出回っているID/passwordの組み合わせを使った辞書攻撃と思われますが,それで破られることはないので結果として “AUTH failure”になるわけです

まれに相手をまともなMTAと認めるのかUserID@当サイトドメイン の型式のメールをまとめて100くらい送り込んでこようとします.そのUserIDがタコ過ぎて当サイトでは100% “User unknown”となります.このケースでは,”User unknown”の行に相手先のIPアドレスが含まれていないので,その処理のIDを抽出して,そのIDとIPアドレスを含む別の行からIPアドレスを取り出す,という感じで一手間余計にかかります.ここは,Perlスクリプトを書きました.

そうして過去1年と今月3週間分のログから不正な接続元のIPアドレスを抽出したところ,ユニークなIPアドレスが6,788個ありました

せっかく抽出したのだからiptalbes で全てのIPアドレスを “DROP”するように設定してみました.当サイト始まって以来の巨大なテーブルとなりました.

しかし,全く効果がありません.次から次へと新しいIPアドレスで不正アクセスを試みてきます.

いくら大量のBOTを要しているにしてもその数は有限なわけですが,1年分くらいのデータでは防ぐことはできないようです.

次から次へと新しいIPアドレスで不正アクセスしてくるのですが,繰り返し使われるIPアドレスもあります.この1年で10万回以上不正アクセスしてきたIPアドレスが2つあり,それぞれモスクワと香港の会社が管理するIPアドレスです.第3位も香港で約5万回です.この3つは特に悪質なので曝します.

62.233.50.137
91.240.118.159
176.113.115.117

6,788個のうち100回以上不正アクセスしてきたIPアドレスは55個です.残りは大半が1〜2回なので,そのBOTの規模は計り知れません.

この100回以上攻めてきた55個は,従来の/24のサブネットでブロックするように設定しました(残りの6,733個は開放しました😓).

今後の方針としてはときどき見直して,一定の期間に大量の不正アクセスをしてきたサイトのIPアドレスをiptablesで “DROP” するよう追加していきます.また逆に,不正アクセスが成功した事例はないか解析し,今後も監視していきます.

Notes:
1. さらに,2018年からのbackupもあります.
2. 全く別のIPアドレスからほぼ同時に同じUserIDが送られてきます.BOTを操っているとあたまでは解りますが,なんとも不気味です.
3. どういう基準か解りません😓
4. たぶんQueue ID.
5. 2023年5月.
6. ちなみに,Perlスクリプトで抽出したMTAとしての接続に成功したIPアドレスは,この1か月間に208個(それ以前の12か月間はゼロ)ありますが,2回使用されたIPアドレスが7個あるだけで残りは全部ユニークです😱

7. サブネットなしの個々のIPアドレスを “DROP”.
8. 多少,時間あたりの不正接続の頻度が減ったような感じはあります.
さらに,2018年からのbackupもあります.
全く別のIPアドレスからほぼ同時に同じUserIDが送られてきます.BOTを操っているとあたまでは解りますが,なんとも不気味です.
どういう基準か解りません😓
たぶんQueue ID.
2023年5月.
ちなみに,Perlスクリプトで抽出したMTAとしての接続に成功したIPアドレスは,この1か月間に208個(それ以前の12か月間はゼロ)ありますが,2回使用されたIPアドレスが7個あるだけで残りは全部ユニークです😱

サブネットなしの個々のIPアドレスを “DROP”.
多少,時間あたりの不正接続の頻度が減ったような感じはあります.