denyhosts で vsftpd と dovecot を規制対象にしたい


最近syslogを監視していると、ftpとpopへのアタックが非常に多いようです。
SSHは昔からあったけど、どうしてpopが増えたんでしょうね?

Aug 2 18:02:43 test01 dovecot: pop3-login: Disconnected: user=, method=PLAIN, rip=::ffff:61.62.33.170, lip=::ffff:**.**.**.**
Aug 2 18:02:46 test01 dovecot: pop3-login: Disconnected: user=, method=PLAIN, rip=::ffff:61.62.33.170, lip=::ffff:**.**.**.**
Aug 2 18:05:18 test01 dovecot: pop3-login: Disconnected: user=, method=PLAIN, rip=::ffff:61.62.33.170, lip=::ffff:**.**.**.**
Aug 2 18:14:02 test01 dovecot: pop3-login: Disconnected: user=, method=PLAIN, rip=::ffff:61.62.33.170, lip=::ffff:**.**.**.**

ウチには bobもwindowsもいねぇよ!(笑)
というわけで、denyhosts でバリバリと規制しようと思います。

参考URL
Re: [Denyhosts-user] dovecot

denyhosts.cfg にこんな行を追記しました。

BLOCK_SERVICE = ALL
SSHD_FORMAT_REGEX=.* (sshd.*:|\[sshd\]|dovecot-auth.*:|vsftpd.*:) (?P.*)
USERDEF_FAILED_ENTRY_REGEX=authentication failure.* ruser=(?P\S+) rhost=(?P\S+)
USERDEF_FAILED_ENTRY_REGEX=authentication failure.* rhost=(?P
\S+)\s+user=(?P\S+).*
USERDEF_FAILED_ENTRY_REGEX=authentication failure.* rhost=(?P\S+).*

こんな感じ。BLOCK_SERVICE の ALL は hosts.deny に書かれるので、ssh も dovecot も vsftpd も…となると ALL と書くしかありませんでした。
これでひとまず様子見です。
だいたい1日に5000件くらいのアタックがあるので、うまくフィルタされてくれるといいなぁ。

コメントを残す

メールアドレスが公開されることはありません。