Category: Network

執拗なメール攻撃者との戦い

ここ数年でしょうか,SMTPでメールを送り込もうという試みが繰り返されています.認証の設定の不備を発見してSPAMの踏み台にしようとしているのではないかと推測しています.

sendmailのログは1年間保存しています.そこから, “AUTH failure” または “Access denied”を含む行のIPアドレスを集めました.これはsed, uniq, sortなどのunix/linuxに標準的についてくるツールでできます.

こちらのMTAに対してどこの馬の骨か解らないIPアドレスからメールを送り込もうと接続してきたら,こちらからは「認証が必要だよ」と返すので,なんか適当なuser IDとパスワードを送ってきます.ちまたに出回っているID/passwordの組み合わせを使った辞書攻撃と思われますが,それで破られることはないので結果として “AUTH failure”になるわけです

まれに相手をまともなMTAと認めるのかUserID@当サイトドメイン の型式のメールをまとめて100くらい送り込んでこようとします.そのUserIDがタコ過ぎて当サイトでは100% “User unknown”となります.このケースでは,”User unknown”の行に相手先のIPアドレスが含まれていないので,その処理のIDを抽出して,そのIDとIPアドレスを含む別の行からIPアドレスを取り出す,という感じで一手間余計にかかります.ここは,Perlスクリプトを書きました.

そうして過去1年と今月3週間分のログから不正な接続元のIPアドレスを抽出したところ,ユニークなIPアドレスが6,788個ありました

せっかく抽出したのだからiptalbes で全てのIPアドレスを “DROP”するように設定してみました.当サイト始まって以来の巨大なテーブルとなりました.

しかし,全く効果がありません.次から次へと新しいIPアドレスで不正アクセスを試みてきます.

いくら大量のBOTを要しているにしてもその数は有限なわけですが,1年分くらいのデータでは防ぐことはできないようです.

次から次へと新しいIPアドレスで不正アクセスしてくるのですが,繰り返し使われるIPアドレスもあります.この1年で10万回以上不正アクセスしてきたIPアドレスが2つあり,それぞれモスクワと香港の会社が管理するIPアドレスです.第3位も香港で約5万回です.この3つは特に悪質なので曝します.

62.233.50.137
91.240.118.159
176.113.115.117

6,788個のうち100回以上不正アクセスしてきたIPアドレスは55個です.残りは大半が1〜2回なので,そのBOTの規模は計り知れません.

この100回以上攻めてきた55個は,従来の/24のサブネットでブロックするように設定しました(残りの6,733個は開放しました😓).

今後の方針としてはときどき見直して,一定の期間に大量の不正アクセスをしてきたサイトのIPアドレスをiptablesで “DROP” するよう追加していきます.また逆に,不正アクセスが成功した事例はないか解析し,今後も監視していきます.

さらに,2018年からのbackupもあります.
全く別のIPアドレスからほぼ同時に同じUserIDが送られてきます.BOTを操っているとあたまでは解りますが,なんとも不気味です.
どういう基準か解りません😓
たぶんQueue ID.
2023年5月.
ちなみに,Perlスクリプトで抽出したMTAとしての接続に成功したIPアドレスは,この1か月間に208個(それ以前の12か月間はゼロ)ありますが,2回使用されたIPアドレスが7個あるだけで残りは全部ユニークです😱

サブネットなしの個々のIPアドレスを “DROP”.
多少,時間あたりの不正接続の頻度が減ったような感じはあります.

254個のIPアドレスをブロックしてます

ここ数日,sendmailのユーザー認証をこじ開けようと辞書攻撃を受け続けています.無駄な攻撃ですが万一まぐれで当たったらと思うと気持ち悪いので,新しい攻撃から33個のIPアドレスを “DROP” するように,設定しました.合計で254個になりました.

今回の攻撃は1〜数分間隔で “www”, “postmaster” などありがちなユーザー名で認証を試みてきます.そして,試行するごとにIPアドレスが変わってきます.ボットなのかIP偽装なのかわかりません(sendmailのログには “may be forged” ってでてますが).

ボットにしても偽装にしても1つの邪悪なIPアドレスがある場合,8bitのサブネットごと “DROP” するように設定していますから,善良な方(やMTA)からの接続も受け付けなくなる危険性があります.

もし,昨日までつながっていたのにつながらなくなったらお知らせ下さい(あ,無理か😓).

追記(2023/05/12)

その後も次から次へと新しいIPアドレスで攻撃してくるので,攻撃元IPアドレスを “DROP” するのをやめました.

あいかわらずネットが速くてすみません

Nuroにして1年近く経ちました.ときどき速度低下もありますが落ちたところで3桁(Mbps)を切ることはありませんから,毎夜のように2桁までおち,ときには1桁まで落ちた前のプロバイダーに比べれば極楽です.

上の測定結果は,平日の昼前(2023/05/10 11:40JST)有線接続(1Gbps)のデスクトップPC で測定したもので,夜の混雑時以外の典型的な値です.

またWi-Fiが速い.Wi-Fi 6対応のディバイス限定ですが,こんなスピードが出ます(2023/05/10 12:18 JST).もはやごめんなさいレベルです.

Core i7-4790S Manjaro Linux AMD64.
iPhone 14.Wi-FiルーターはNuroお仕着せのZTE F660P.TP-Link Deco X60経由でも同等のスピードが出ます.

久しぶりにRadishでスピード測定

ここのところiNoniusでスピード測定してますが,かつてのプロバイダーではiNoniusで測定したことはありませんから,比較のしようがありません.

そこでかつてよく利用していたRadishで久しぶりに測定をしてみました.とはいえ,測定のスクリプトもバージョンが上がっていると思うので,やはり同一条件の比較にはならないでしょう.

==== Radish Network Speed Testing Ver.5.7.7.2 - Test Report ====
使用回線: NURO 光 G2
----------------------------------------------------------------
測定条件
 精度: 高 接続数: 1-16 RTT測定: 速度測定前後/速度測定中
 データタイプ: 標準 測定クライアント: JavaScript
下り回線
 速度: 911.2Mbps (113.9MByte/sec) 測定品質: 98.2 接続数: 6
 測定前RTT: 6.84ms (6.55ms - 7.10ms)
 測定中RTT: 13.1ms (6.60ms - 213ms)
上り回線
 速度: 877.7Mbps (109.7MByte/sec) 測定品質: 95.4 接続数: 4
 測定前RTT: 6.00ms (6.00ms - 6.00ms)
 測定中RTT: 9.05ms (5.00ms - 114ms)
測定者ホスト: **********.ap.nuro.jp
測定時刻: 2023/4/12 09:37:38
----------------------------------------------------------------
測定サイト http://netspeed.studio-radish.com/
================================================================

もう一つの問題は,IPv6での測定には対応してないということですね.

最近のsendmailへの攻撃

Mail Transfer Agent (MTA)を動かしているといろんな攻撃がなされます.こちらではかなり昔からsendmailを使用していて,ログをときどき見ています.

かつてはむやみにメールを送り込もうという単純な攻撃が多くたいていは,IPアドレスの逆引きができないとか,認証が必要という形でsendmailがリジェクトしてきました.

最近変わった攻撃としては,arg1ですから送信元のアドレスに,悪意あるPerlスクリプトをwgetやcurlでダウンロードさせて実行さようというスクリプトを記述したメール送信を偽装した試みが複数回なされました.

そのPerlスクリプトを試しにダウンロードしてざっと眺めてみました.バックドアを作るもののようですが,はたしてarg1に書かれたスクリプトが実行されることがあるのか,実行したとしてsendmailの権限でバックドアが作れるのか疑問です.ただ,成功例があるから攻撃してくるのでしょうけれど.

また,昨日までの数日間,認証を試みる辞書攻撃と思われる試みが繰り返し行われました.

まあ,辞書攻撃でこちらの認証が突破はできないと思いますが,気持ち悪いので攻撃元のIPアドレスを遮断しました.全部で7個くらいあったので,ボットからの攻撃と思われます.

MTAを動かしているといろんな風景が眺められて面白いです.