logwatchの内容が理解できません。踏み台にされているのか心配です。

Question

news1

51

50もっと見る

100pt

インターネットウェブ制作

logwatchの内容が理解できません。踏み台にされているのか心配です。

所要部分を転記しますので、対処法を教えてください。
userと書き換えた箇所には、SSH認証でサーバにログインするユーザー名が書いてあります。

サーバ　さくらVPS
サーバOS　CENTOS　

省略
******Detailed*
SentviaSMTP---
??????.comx
user
Deferrals----
?.?.?:PersistentTransientFailure:SecurityorPolicyStatus:Otherorundefined...
?.?.?[xx.xxx.xxx.xxxxx]Oursystemhasdetectedanunusualrateof421-4....
xxxxx.com
user
xx.xxx.xxx.xxxalt2.aspmx.l.google.com
?.?.?[xx.xxx.xxx.xxxxx]Oursystemhasdetectedanunusualrateof421-4....
xxxxxx.com
user
xx.xxx.xx.xxalt1.aspmx.l.google.com
HostALT1.ASPMX.L.GOOGLE.com[xx.xxx.xxx.xxx]refusedtotalktome:421-?.?.?[49...
xxxxxx.com
user
xx.xxx.xxx.xxxalt1.aspmx.l.google.com
HostALT1.ASPMX.L.GOOGLE.com[xx.xxx.xxx.xxx]refusedtotalktome:421-?.?.?[49...
xxxxxx.com
user

回答の条件

1人5回まで

登録：2015/01/03 14:22:17
終了：2015/01/08 08:44:46

※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

質問者から

news12015/01/08 08:44:18

質問文を編集しました。詳細はこちら。

規約違反として通知

コメントはまだありません

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

リクエスト送信済

回答リクエストを送信したユーザーはいません

JULY · Accepted Answer · 2015-01-03T16:15:55+09:00

No.1

JULY9662472015/01/03 16:15:55

100pt

空白文字が抜けて読みにくいですが、「?.?.?[49.212.162.20610]Oursystemhasdetectedanunusualrateof421-4....」というのは、

Our system has detected an unusual rate of 421-4....

ですよね。

このログ自体は、Gmail 宛のメールを送信しようとして失敗し、Gmail 側の SMTP サーバとのやりとりの中で受け取ったメッセージが、ログに出力されたものだと思われます。
SMTP エラーリファレンス - Google Apps ヘルプ
お使いの VPS から Gmail へ大量のメールが送信されて、Gmail 側のメールサーバが拒否した時のメッセージが、/var/log/maillog 辺りに記録されたのを logwatch が拾って報告してきた、という事になります。後半の「refused to talk to me」も Gmail 側が拒否している事を示唆しています。

で、問題は、お使いの VPS が Gmail へメールを送信した理由です。契約されている VPS をどのような目的で使っているのか分かりませんが、「Gmail へメールを送信」ということに身に覚えがあれば、その原因を絶つ必要があります。

もし、全く身に覚えが無ければ、何らかの形で第３者が利用している可能性があります。これも、いろんなケースが考えられるので、このログだけで原因を推定するのは難しいですが、ユーザ名に SSH でログインする時のユーザ名が記録されているのであれば、SMTP サーバが第３者中継を許している可能性は低いです。

他3件のコメントを見る

VPSサーバ利用法は、グループウェア、データベース、ドメイン取得、マッピングです。
メールはgoogleappsを利用してますので、VPSサーバからの送信はグループウェアでの電話メモ送信程度です。
/var/log/maillogに何か書かれてないか確認してみます。

2015/01/03 16:24:09

以下のログがありました

1Dec2904:09:06www?????uepostfix/pickup[15513]:D69CE500C6E:uid=0from=<root>

2Dec2904:09:06www?????uepostfix/cleanup[16084]:D69CE500C6E:message-id=<20141228190906.D69CE500C6E@www?????ue.sakura.ne.jp>

3Dec2904:09:06www?????uepostfix/qmgr[1100]:D69CE500C6E:from=<root@www?????ue.sakura.ne.jp>,size=14523,nrcpt=1(queueactive)

4Dec2904:09:07www?????uepostfix/smtp[16119]:connecttoASPMX.L.GOOGLE.com[2404:6800:4008:c00::1b]:25:Networkisunreachable

5Dec2904:09:09www?????uepostfix/smtp[16119]:D69CE500C6E:to=<user@domein.com>,relay=ASPMX.L.GOOGLE.com[173.194.72.27]:25,delay=4.7,delays=2.2/0.07/0.82/1.6,dsn=2.0.0,status=sent(2502.0.0OK1419793749qa8si11932020pdb.195-gsmtp)

6Dec2904:09:09www?????uepostfix/qmgr[1100]:D69CE500C6E:removed

7Dec3003:34:08www?????uepostfix/pickup[24327]:C5B1E500C6E:uid=0from=<root>

8Dec3003:34:08www?????uepostfix/cleanup[24910]:C5B1E500C6E:message-id=<20141229183408.C5B1E500C6E@www?????ue.sakura.ne.jp>

9Dec3003:34:08www?????uepostfix/qmgr[1100]:C5B1E500C6E:from=<root@www?????ue.sakura.ne.jp>,size=6181,nrcpt=1(queueactive)

10Dec3003:34:08www?????uepostfix/smtp[24945]:connecttoASPMX.L.GOOGLE.com[2404:6800:4008:c01::1a]:25:Networkisunreachable

user@domein.comはgoogleappsで管理している私のメアドです。
ここからなにかわかるものでしょうか

2015/01/03 17:18:48

グループウェアはサイボウズoffice6とデスクネッツNEOを稼働させています。
サイボウズのシステムメールアカウントは、SSL/TSL設定が使えないため、プロバイダのメールサーバを利用しています。
構成はsmtp認証（account&pass）、smtp（プロバイダ指定のもの）,アドレス（プロバイダから取得したもの）です。
logwatchの Detailedを見ても、このプロバイダ名やアドレスは記載されておりません。

対策として、システム設定に入れるユーザーのパスワードと、システム設定のパスワードを変更しました。

なお、マニュアルを参考にサイボウズのLOGを探してみましたが、　.htaccessファイルしかなく、その記述は以下の内容でした。
1 <Limit GET POST HEAD>
2 Order allow,deny
3 Deny from all
4 </Limit>
マニュアルアドレス
http://kantan.cybozu.co.jp/cb6/manual/system/reference/system_reference0101.html

つぎにデスクネッツNEOですが、こちのメールサーバー設定は、SSL/TSLが使えるため、smtp.gmail.comを使用しています。
現状では試験可動中のため、POP3の設定はしていません。
送信元メールアドレスは、desknets@当社ドメインです。
googleapps上での使用を確認しましたが、痕跡はありませんでした。
またlogwatchの Detailedを見ても、このプロバイダ名やアドレスは記載されておりません。
デスクネッツNEO上でのユーザーのメール設定（デスクネッツ上ではアカウントと表記）を行っておらず、質問のはじめで説明した、SSH認証でサーバにログインするユーザー名は登録しておりませんので、デスクネッツNEOでのメール発信は確認できません。

デスクネッツNEOのログをあたってみます。

2015/01/04 09:40:31

デスクネッツNEOでの対策として、システム設定に入れるユーザーのパスワードを変更しました。
desknets@当社ドメインのアドレスは、googleapps管理で削除しました。

2015/01/04 09:42:00

JULY · Accepted Answer · 2015-01-03T16:15:55+09:00

No.1

JULY9662472015/01/03 16:15:55ここでベストアンサー

100pt

空白文字が抜けて読みにくいですが、「?.?.?[49.212.162.20610]Oursystemhasdetectedanunusualrateof421-4....」というのは、

Our system has detected an unusual rate of 421-4....

ですよね。

このログ自体は、Gmail 宛のメールを送信しようとして失敗し、Gmail 側の SMTP サーバとのやりとりの中で受け取ったメッセージが、ログに出力されたものだと思われます。
SMTP エラーリファレンス - Google Apps ヘルプ
お使いの VPS から Gmail へ大量のメールが送信されて、Gmail 側のメールサーバが拒否した時のメッセージが、/var/log/maillog 辺りに記録されたのを logwatch が拾って報告してきた、という事になります。後半の「refused to talk to me」も Gmail 側が拒否している事を示唆しています。

で、問題は、お使いの VPS が Gmail へメールを送信した理由です。契約されている VPS をどのような目的で使っているのか分かりませんが、「Gmail へメールを送信」ということに身に覚えがあれば、その原因を絶つ必要があります。

もし、全く身に覚えが無ければ、何らかの形で第３者が利用している可能性があります。これも、いろんなケースが考えられるので、このログだけで原因を推定するのは難しいですが、ユーザ名に SSH でログインする時のユーザ名が記録されているのであれば、SMTP サーバが第３者中継を許している可能性は低いです。

他3件のコメントを見る

VPSサーバ利用法は、グループウェア、データベース、ドメイン取得、マッピングです。
メールはgoogleappsを利用してますので、VPSサーバからの送信はグループウェアでの電話メモ送信程度です。
/var/log/maillogに何か書かれてないか確認してみます。

2015/01/03 16:24:09

以下のログがありました

1Dec2904:09:06www?????uepostfix/pickup[15513]:D69CE500C6E:uid=0from=<root>

2Dec2904:09:06www?????uepostfix/cleanup[16084]:D69CE500C6E:message-id=<20141228190906.D69CE500C6E@www?????ue.sakura.ne.jp>

3Dec2904:09:06www?????uepostfix/qmgr[1100]:D69CE500C6E:from=<root@www?????ue.sakura.ne.jp>,size=14523,nrcpt=1(queueactive)

4Dec2904:09:07www?????uepostfix/smtp[16119]:connecttoASPMX.L.GOOGLE.com[2404:6800:4008:c00::1b]:25:Networkisunreachable

5Dec2904:09:09www?????uepostfix/smtp[16119]:D69CE500C6E:to=<user@domein.com>,relay=ASPMX.L.GOOGLE.com[173.194.72.27]:25,delay=4.7,delays=2.2/0.07/0.82/1.6,dsn=2.0.0,status=sent(2502.0.0OK1419793749qa8si11932020pdb.195-gsmtp)

6Dec2904:09:09www?????uepostfix/qmgr[1100]:D69CE500C6E:removed

7Dec3003:34:08www?????uepostfix/pickup[24327]:C5B1E500C6E:uid=0from=<root>

8Dec3003:34:08www?????uepostfix/cleanup[24910]:C5B1E500C6E:message-id=<20141229183408.C5B1E500C6E@www?????ue.sakura.ne.jp>

9Dec3003:34:08www?????uepostfix/qmgr[1100]:C5B1E500C6E:from=<root@www?????ue.sakura.ne.jp>,size=6181,nrcpt=1(queueactive)

10Dec3003:34:08www?????uepostfix/smtp[24945]:connecttoASPMX.L.GOOGLE.com[2404:6800:4008:c01::1a]:25:Networkisunreachable

user@domein.comはgoogleappsで管理している私のメアドです。
ここからなにかわかるものでしょうか

2015/01/03 17:18:48

グループウェアはサイボウズoffice6とデスクネッツNEOを稼働させています。
サイボウズのシステムメールアカウントは、SSL/TSL設定が使えないため、プロバイダのメールサーバを利用しています。
構成はsmtp認証（account&pass）、smtp（プロバイダ指定のもの）,アドレス（プロバイダから取得したもの）です。
logwatchの Detailedを見ても、このプロバイダ名やアドレスは記載されておりません。

対策として、システム設定に入れるユーザーのパスワードと、システム設定のパスワードを変更しました。

なお、マニュアルを参考にサイボウズのLOGを探してみましたが、　.htaccessファイルしかなく、その記述は以下の内容でした。
1 <Limit GET POST HEAD>
2 Order allow,deny
3 Deny from all
4 </Limit>
マニュアルアドレス
http://kantan.cybozu.co.jp/cb6/manual/system/reference/system_reference0101.html

つぎにデスクネッツNEOですが、こちのメールサーバー設定は、SSL/TSLが使えるため、smtp.gmail.comを使用しています。
現状では試験可動中のため、POP3の設定はしていません。
送信元メールアドレスは、desknets@当社ドメインです。
googleapps上での使用を確認しましたが、痕跡はありませんでした。
またlogwatchの Detailedを見ても、このプロバイダ名やアドレスは記載されておりません。
デスクネッツNEO上でのユーザーのメール設定（デスクネッツ上ではアカウントと表記）を行っておらず、質問のはじめで説明した、SSH認証でサーバにログインするユーザー名は登録しておりませんので、デスクネッツNEOでのメール発信は確認できません。

デスクネッツNEOのログをあたってみます。

2015/01/04 09:40:31

デスクネッツNEOでの対策として、システム設定に入れるユーザーのパスワードを変更しました。
desknets@当社ドメインのアドレスは、googleapps管理で削除しました。

2015/01/04 09:42:00

logwatchの内容が理解できません。踏み台にされているのか心配です。

ベストアンサー

JULY9662472015/01/03 16:15:55

その他の回答（0件）

JULY9662472015/01/03 16:15:55ここでベストアンサー

質問者から

コメント（0件)

この質問への反応（ブックマークコメント）