Linuxでpopサーバーがブルートフォースアタックを受けています


WEBサーバーが極端に重くなった原因で、
Linuxのtcpdumpコマンドで見た結果、海外のIPから XX.XXX.XXX.XXX.XXXX > XX.XX.XX.XXX.pop3: Flags [P.], seq 28:34, ack 132, win 65404, length 6
という大量のアクセスが見つかりました。

このpop3へのブルートフォースに対する具体的解決法をご教授お願い致します。
PleskのFirewallでpop3は自分のipだけを許可する設定にしていますが、なぜか効果がありません。
下記サイトにあるこの2つのコマンドをやってiptableを再起動しましたが、なぜか重いままでtcpdumpを見てもまだ攻撃が途絶えていません。効果ありません。
http://memorandum.yamasnet.com/archives/Post-368.html
# 外部からのTCP110番ポート(POP3)へのアクセスを制限つきで許可
/sbin/iptables -A INPUT -p tcp -m state --syn --state NEW --dport 110 -m limit --limit 1/second --limit-burst 1 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m state --syn --state NEW --dport 110 -j DROP
当方はコマンドラインからLinuxを操れるプロでは御座いませんので、
コマンド付きの回答を希望致します。

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2014/04/27 08:12:02
  • 終了:2014/04/27 23:04:16

ベストアンサー

id:snow0214 No.1

snow0214回答回数470ベストアンサー獲得回数1162014/04/27 09:56:21

ポイント300pt

ditさんが公開しているブルートフォース防御ルールセットが効果的です。

ブルートフォース防御ルールセット 無償ダウンロード

http://www.dit.co.jp/service/bruteforce_def/index.html

id:a-kuma3

NetFilter Rule-Base.txt の抜粋。

-A INPUT -j PACKET-CHECK
-A PACKET-CHECK -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT

みたいな定義になってますけど。

2014/04/27 10:59:22
id:JULY

私も見てみましたが、a-kuma3 の指摘通り、このままのルールだと pop3 には効果がなく、対象になっているのは ftp, ssh, telnet の3つだけですね。

2014/04/27 16:07:13

その他の回答(0件)

id:snow0214 No.1

snow0214回答回数470ベストアンサー獲得回数1162014/04/27 09:56:21ここでベストアンサー

ポイント300pt

ditさんが公開しているブルートフォース防御ルールセットが効果的です。

ブルートフォース防御ルールセット 無償ダウンロード

http://www.dit.co.jp/service/bruteforce_def/index.html

id:a-kuma3

NetFilter Rule-Base.txt の抜粋。

-A INPUT -j PACKET-CHECK
-A PACKET-CHECK -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT

みたいな定義になってますけど。

2014/04/27 10:59:22
id:JULY

私も見てみましたが、a-kuma3 の指摘通り、このままのルールだと pop3 には効果がなく、対象になっているのは ftp, ssh, telnet の3つだけですね。

2014/04/27 16:07:13
id:ty2016

コメントありがとうございます。
IMAPやSMTP等にもPleskのIP制限をかけたところなぜか解決しました。
POPだけではなかったのでしょうか。

  • id:a-kuma3
    >Linuxのtcpdumpコマンドで見た結果、海外のIPから XX.XXX.XXX.XXX.XXXX > XX.XX.XX.XXX.pop3: Flags [P.], seq 28:34, ack 132, win 65404, length 6
    >という大量のアクセスが見つかりました。

    「大量の」って、頻度はどれくらいなんでしょうか。
    一秒当たり、何回くらい?

    後、「海外のIP から」って、一ヶ所ですか。それとも、複数?
  • id:JULY
    tcpdump の出力ですが、TCP フラグが [P.] という事は、TCP で接続したあとのパケットですね。「大量のアクセス」だと pop3 への接続要求が大量にあるイメージですが、ブルートフォースアタック(ひたすらログインできるアカウント、パスワードを試す)という話なら、tcpdump の出力はどうでも良くて、pop3 関連のログをみて「ブルートフォースアタックだ」という判断になると思いますが...。

    とりあえず、現状の iptables の設定状態がどうなっているかが分からないと、「pop3は自分のipだけ」に本当になっているのかが分かりません。

    まずは、「iptables -L -v」の出力結果を見せてもらいたいです。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません