WEBサーバーが極端に重くなった原因で、
Linuxのtcpdumpコマンドで見た結果、海外のIPから XX.XXX.XXX.XXX.XXXX > XX.XX.XX.XXX.pop3: Flags [P.], seq 28:34, ack 132, win 65404, length 6
という大量のアクセスが見つかりました。
このpop3へのブルートフォースに対する具体的解決法をご教授お願い致します。
PleskのFirewallでpop3は自分のipだけを許可する設定にしていますが、なぜか効果がありません。
下記サイトにあるこの2つのコマンドをやってiptableを再起動しましたが、なぜか重いままでtcpdumpを見てもまだ攻撃が途絶えていません。効果ありません。
http://memorandum.yamasnet.com/archives/Post-368.html
# 外部からのTCP110番ポート(POP3)へのアクセスを制限つきで許可
/sbin/iptables -A INPUT -p tcp -m state --syn --state NEW --dport 110 -m limit --limit 1/second --limit-burst 1 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m state --syn --state NEW --dport 110 -j DROP
当方はコマンドラインからLinuxを操れるプロでは御座いませんので、
コマンド付きの回答を希望致します。
ditさんが公開しているブルートフォース防御ルールセットが効果的です。
NetFilter Rule-Base.txt の抜粋。
-A INPUT -j PACKET-CHECK -A PACKET-CHECK -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
みたいな定義になってますけど。
私も見てみましたが、a-kuma3 の指摘通り、このままのルールだと pop3 には効果がなく、対象になっているのは ftp, ssh, telnet の3つだけですね。
NetFilter Rule-Base.txt の抜粋。
みたいな定義になってますけど。
2014/04/27 10:59:22私も見てみましたが、a-kuma3 の指摘通り、このままのルールだと pop3 には効果がなく、対象になっているのは ftp, ssh, telnet の3つだけですね。
2014/04/27 16:07:13