- 締切済み
これが、不正アクセスなんでしょうか?
やっと、メールサーバーの運用ができるかもと思いきや。。。。 ログにこんな表示があったんですが。。。。 --------------------- iptables firewall Begin ------------------------ Logged 783 packets on interface eth0 From 59.135.39.225 - 19 packets to tcp(25) From 59.135.39.228 - 5 packets to tcp(25) From 59.135.39.229 - 20 packets to tcp(25) From 59.135.39.230 - 5 packets to tcp(25) From 59.135.39.231 - 4 packets to tcp(25) From 59.135.39.233 - 5 packets to tcp(25) From 59.135.39.234 - 10 packets to tcp(25) From 59.135.39.235 - 14 packets to tcp(25) From 59.135.39.236 - 5 packets to tcp(25) From 59.135.39.238 - 5 packets to tcp(25) From 59.135.39.239 - 5 packets to tcp(25) From 59.135.39.241 - 10 packets to tcp(25) From 59.135.39.242 - 5 packets to tcp(25) From 59.135.39.243 - 5 packets to tcp(25) From 59.135.39.244 - 20 packets to tcp(25) From 114.111.83.217 - 11 packets to tcp(36701) From 115.125.246.68 - 21 packets to tcp(25) From 118.166.221.149 - 2 packets to tcp(25) From 203.216.243.170 - 11 packets to tcp(52520) From 211.9.230.193 - 9 packets to tcp(25) From 211.9.231.193 - 8 packets to tcp(25) From 211.132.128.193 - 40 packets to tcp(35135,40197,41037,41145,59982,60962) From 219.103.130.24 - 18 packets to tcp(25) From 219.103.130.34 - 129 packets to tcp(25) From 219.103.130.152 - 9 packets to tcp(25) From 219.103.130.154 - 248 packets to tcp(25) From 221.242.76.82 - 96 packets to tcp(25) From 222.15.69.195 - 44 packets to tcp(36270,36271,36272,36273,60169) ---------------------- iptables firewall End ------------------------- 一応、最低限度のファイアーウォールはしてるつもりなんですが。。。。 いい方法があれば、教えてください。
- umeda_1970
- お礼率31% (7/22)
- その他(ITシステム運用・管理)
- 回答数1
- ありがとう数2
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- Wr5
- ベストアンサー率53% (2173/4061)
[user@localhost ~]$ host 59.135.39.225 225.39.135.59.in-addr.arpa domain name pointer nx3oBP05-01.ezweb.ne.jp. [user@localhost ~]$ host 115.125.246.68 68.246.125.115.in-addr.arpa is an alias for 68.0/24.246.125.115.in-addr.arpa. 68.0/24.246.125.115.in-addr.arpa domain name pointer www.rbl.jp. [user@localhost ~]$ host 118.166.221.149 149.221.166.118.in-addr.arpa domain name pointer 118-166-221-149.dynamic.hinet.net. [user@localhost ~]$ host 211.9.230.193 193.230.9.211.in-addr.arpa domain name pointer mgkyb1.nw.wakwak.com. [user@localhost ~]$ host 211.9.231.193 193.231.9.211.in-addr.arpa domain name pointer mgkyb2.nw.wakwak.com. [user@localhost ~]$ host 219.103.130.24 24.130.103.219.in-addr.arpa domain name pointer mgdnp1.nw.wakwak.com. [user@localhost ~]$ host 219.103.130.34 34.130.103.219.in-addr.arpa domain name pointer fbdnp1.nw.wakwak.com. [user@localhost ~]$ host 219.103.130.152 152.130.103.219.in-addr.arpa domain name pointer mgdnp2.nw.wakwak.com. [user@localhost ~]$ host 219.103.130.154 154.130.103.219.in-addr.arpa domain name pointer fbdnp2.nw.wakwak.com. [user@localhost ~]$ host 221.242.76.82 82.76.242.221.in-addr.arpa domain name pointer 221x242x76x82.ap221.ftth.ucom.ne.jp. [user@localhost ~]$ ということで、59.135.39.xxxはauのケータイからのアクセス。 手持ちのauのケータイで、立ち上げたメールサーバを使用した送信テストとかしませんでしたか? # ケータイから外部のSMTPサーバに接続できるのかどうかは不明ですが。 www.rbl.jpは不正中継サーバの確認用…ですかね。 wakwak.com系が複数ありますが…転送テストかなにかでもやったんでしょうか? dynamic.hinet.netから2パケットありますが…たぶん乗っ取られたマシン等からのポートスキャンでもうけたのでしょう。 # って25番ポートだけなので、ポートスキャンとは少し違うか… オープンリレーのできるメールサーバを探しているものが接続してきた…かな? ftth.ucom.ne.jpもオープンリレーの調査…でしょうかねぇ。 他の25番以外に接続しているモノは…不明ですね。 んで、25番開けているのであれば、メールの配信で接続されることもあるでしょう。 メールサーバのログの方を確認すべき…かと思いますが。 iptablesでログを取るようにしていないので、こちらは特に出ていないです。 # まぁ25番を外部に開けていませんし。
お礼
Wr5さん早速の回答ありがとうございます。 まだまだ未熟者で、わからない事もたたありますが、 勉強していこうとおもいます。今回の回答大変役立ちました。 実際ルーターを使用して、バーチャルサーバー機能を使用し、 最低リレーだけは、されないように構成してます。 あと、CentOS5で、postfix、dovecotの構成なのですが、 smtp認証、iptable等での対策はしているのですが、 どの様な不正アクセスを含め、ウイルスの対策をしていけばよいのでしょうか? また、その他のログの見方設定等も教えていただけないでしょうか。 よろしくお願いします。