最近syslogを監視していると、ftpとpopへのアタックが非常に多いようです。
SSHは昔からあったけど、どうしてpopが増えたんでしょうね?
Aug 2 18:02:43 test01 dovecot: pop3-login: Disconnected: user=
, method=PLAIN, rip=::ffff:61.62.33.170, lip=::ffff:**.**.**.**
Aug 2 18:02:46 test01 dovecot: pop3-login: Disconnected: user=, method=PLAIN, rip=::ffff:61.62.33.170, lip=::ffff:**.**.**.**
Aug 2 18:05:18 test01 dovecot: pop3-login: Disconnected: user=, method=PLAIN, rip=::ffff:61.62.33.170, lip=::ffff:**.**.**.**
Aug 2 18:14:02 test01 dovecot: pop3-login: Disconnected: user=, method=PLAIN, rip=::ffff:61.62.33.170, lip=::ffff:**.**.**.**
ウチには bobもwindowsもいねぇよ!(笑)
というわけで、denyhosts でバリバリと規制しようと思います。
参考URL
Re: [Denyhosts-user] dovecot
denyhosts.cfg にこんな行を追記しました。
BLOCK_SERVICE = ALL
SSHD_FORMAT_REGEX=.* (sshd.*:|\[sshd\]|dovecot-auth.*:|vsftpd.*:) (?P.*)
USERDEF_FAILED_ENTRY_REGEX=authentication failure.* ruser=(?P\S+) rhost=(?P \S+)
USERDEF_FAILED_ENTRY_REGEX=authentication failure.* rhost=(?P\S+)\s+user=(?P \S+).*
USERDEF_FAILED_ENTRY_REGEX=authentication failure.* rhost=(?P\S+).*
こんな感じ。BLOCK_SERVICE の ALL は hosts.deny に書かれるので、ssh も dovecot も vsftpd も…となると ALL と書くしかありませんでした。
これでひとまず様子見です。
だいたい1日に5000件くらいのアタックがあるので、うまくフィルタされてくれるといいなぁ。