人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile
Linuxでpopサーバーがブルートフォースアタックを受けています

WEBサーバーが極端に重くなった原因で、
Linuxのtcpdumpコマンドで見た結果、海外のIPから XX.XXX.XXX.XXX.XXXX > XX.XX.XX.XXX.pop3: Flags [P.], seq 28:34, ack 132, win 65404, length 6
という大量のアクセスが見つかりました。

このpop3へのブルートフォースに対する具体的解決法をご教授お願い致します。
PleskのFirewallでpop3は自分のipだけを許可する設定にしていますが、なぜか効果がありません。
下記サイトにあるこの2つのコマンドをやってiptableを再起動しましたが、なぜか重いままでtcpdumpを見てもまだ攻撃が途絶えていません。効果ありません。
http://memorandum.yamasnet.com/archives/Post-368.html
# 外部からのTCP110番ポート(POP3)へのアクセスを制限つきで許可
/sbin/iptables -A INPUT -p tcp -m state --syn --state NEW --dport 110 -m limit --limit 1/second --limit-burst 1 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m state --syn --state NEW --dport 110 -j DROP
当方はコマンドラインからLinuxを操れるプロでは御座いませんので、
コマンド付きの回答を希望致します。
●質問者: ty2016
●カテゴリ:コンピュータ ウェブ制作
○ 状態 :終了
└ 回答数 : 1/1件
▽最新の回答へ
1 ● snow0214
●300ポイント ベストアンサー

ditさんが公開しているブルートフォース防御ルールセットが効果的です。

ブルートフォース防御ルールセット 無償ダウンロード

http://www.dit.co.jp/service/bruteforce_def/index.html

a-kuma3さんのコメント
NetFilter Rule-Base.txt の抜粋。 >|| -A INPUT -j PACKET-CHECK -A PACKET-CHECK -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT ||< みたいな定義になってますけど。
JULYさんのコメント
私も見てみましたが、a-kuma3 の指摘通り、このままのルールだと pop3 には効果がなく、対象になっているのは ftp, ssh, telnet の3つだけですね。
質問者から

コメントありがとうございます。
IMAPやSMTP等にもPleskのIP制限をかけたところなぜか解決しました。
POPだけではなかったのでしょうか。

関連質問
●質問をもっと探す●

0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ