Category: Network

ここ数年でしょうか，SMTPでメールを送り込もうという試みが繰り返されています．認証の設定の不備を発見してSPAMの踏み台にしようとしているのではないかと推測しています．

sendmailのログは1年間保存しています．そこから， “AUTH failure” または “Access denied”を含む行のIPアドレスを集めました．これはsed, uniq, sortなどのunix/linuxに標準的についてくるツールでできます．

こちらのMTAに対してどこの馬の骨か解らないIPアドレスからメールを送り込もうと接続してきたら，こちらからは「認証が必要だよ」と返すので，なんか適当なuser IDとパスワードを送ってきます．ちまたに出回っているID/passwordの組み合わせを使った辞書攻撃と思われますが，それで破られることはないので結果として “AUTH failure”になるわけです．

まれに相手をまともなMTAと認めるのか，UserID@当サイトドメイン の型式のメールをまとめて100くらい送り込んでこようとします．そのUserIDがタコ過ぎて当サイトでは100% “User unknown”となります．このケースでは，”User unknown”の行に相手先のIPアドレスが含まれていないので，その処理のIDを抽出して，そのIDとIPアドレスを含む別の行からIPアドレスを取り出す，という感じで一手間余計にかかります．ここは，Perlスクリプトを書きました．

そうして過去1年と今月3週間分のログから不正な接続元のIPアドレスを抽出したところ，ユニークなIPアドレスが6,788個ありました．

せっかく抽出したのだからiptalbes で全てのIPアドレスを “DROP”するように設定してみました．当サイト始まって以来の巨大なテーブルとなりました．

しかし，全く効果がありません．次から次へと新しいIPアドレスで不正アクセスを試みてきます．

いくら大量のBOTを要しているにしてもその数は有限なわけですが，1年分くらいのデータでは防ぐことはできないようです．

次から次へと新しいIPアドレスで不正アクセスしてくるのですが，繰り返し使われるIPアドレスもあります．この1年で10万回以上不正アクセスしてきたIPアドレスが2つあり，それぞれモスクワと香港の会社が管理するIPアドレスです．第3位も香港で約5万回です．この3つは特に悪質なので曝します．

62.233.50.137
91.240.118.159
176.113.115.117

6,788個のうち100回以上不正アクセスしてきたIPアドレスは55個です．残りは大半が1〜2回なので，そのBOTの規模は計り知れません．

この100回以上攻めてきた55個は，従来の/24のサブネットでブロックするように設定しました（残りの6,733個は開放しました😓）．

今後の方針としてはときどき見直して，一定の期間に大量の不正アクセスをしてきたサイトのIPアドレスをiptablesで “DROP” するよう追加していきます．また逆に，不正アクセスが成功した事例はないか解析し，今後も監視していきます．

ちなみに，Perlスクリプトで抽出したMTAとしての接続に成功したIPアドレスは，この1か月間に208個（それ以前の12か月間はゼロ）ありますが，2回使用されたIPアドレスが7個あるだけで残りは全部ユニークです😱