•   Login
  •  
  •   Rss
  •   Rss2.0
  •   ATOM1.0
  •   Admin
  •   Top
  •   Home

海外ISPに苦情を申し立て(メールサーバーへの不正アクセス)

ググっても見つからなかったので自力で解決を試みました。
昨年の12月から一部のIPアドレスにおいて、メールサーバへしつこく不正ログインを試みるヤカラがいました。
その都度、ブロックしたりしていたのですが、それでもログを見るとバンバンやってきていました。
こちらで打てる手が全部なくなったので、最終手段としてfail2banで届いたメール内容から苦情申し立てのメールアドレス(abuse@xxxxx.xxxxx)に次の内容で送りました。


-----
タイトル:Warning statement
-----
内容
A petition

The next IP address intermittently makes unauthorized access to the mail server of this site from February 2018.

94.102.50.96

I am taking measures here, but I do not have a sign to stop it.
Please take measures (stop measures) immediately there.
The attached file is a mail item that detected unauthorized access that we received so far.
-----
こんな感じです。これに、fail2banで送られて来たメールアイテムを添付し、mail.logで当該IPアドレスを引っかけて貼付して送りました。


送っても暫くは不正アクセスを試みてはいたのですが、2日後くらい見るとピタッと止まりました。
やっぱりやってみるもんだなぁ。と思います。
全ての海外ISP(プロバイダー)に通じるとは思いませんが、何もやらないよりかはマシじゃないかと思います。
もう、本当にしつこくて。
毎日、数時間おきにFail2Banのメールが届くんですよ。
もしかして、Fail2Banが機能していないんじゃないか?と思って、「Postfixで相変わらずな不正アクセスを阻止」の方法もやってみたのですが効果有りませんでした。

本来ならFail2Banで効果があるはずなのですが、どう言う訳かOSバージョンアップしてからその効果が出ていないようです。
これについては、色々調査しているのですが、断定出来る箇所が見つからないのが実情ですね。
う~ん、iptablesによるIPアドレス拒否も出来ているのになぁ。


続き▽ 記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
データベースのバックアップ for MySQL
このツールに付属している記事のバックアップ&リストア機能が全然いけてなくて、当ブログ投稿されているAckinさんの指摘で気付きました。
当サイトのブログや他に関連するツールは、基本MySQLで運用しています。
特にブログは、MySQL専用のデータベースを使っています。
ブログツールは、既に開発が終了したぶろぐんPLUSを使っています。


このツールに付属している記事のバックアップ&リストア機能が全然いけてなくて、当ブログ投稿されているAckinさんの指摘で気付きました。
これまで何度かサーバー移転をしていたのですが、この時に記事の抽出(エクスポート)と挿入(インポート)を次のようにしてきました。

1.MySQLのデータが保管されているディレクトリをまるごと圧縮し、新しいサーバーのディレクトへ解凍展開
2.ぶろぐんPLUSを使ってエクスポートしてファイルをダウンロードし、新しいサーバーへアップロードしてインポート

実は、これまでは自宅サーバーでしたので、かなりごり押し技ですが「1」をやっていました。
なので、特段問題となる事象はありませんでした。


そして2年前、自宅サーバーが壊れたのとハードウェアの維持管理が億劫になってきたことを踏まえ、知人の紹介(アドバイス)でさくらVPSを使うことにしました。
お試し期間中にあらゆるデータをアップロードしていたのですが、死ぬほど遅くて諦めて再構築をしました。
そこで、ぶろぐんPLUSの記事データを「2」の方法で展開。
すると、ぶろぐんPLUS内のリンクが無茶苦茶になってしまいました。
この指摘は、随分後になって気付いたため、既に元データを消去してしまったあとではどうすることも出来ず。
Ackinさんには申し訳なく、私も自分の記事を全てチェックして貼り直すには、膨大な数から無理であるためそのままにしています。
とは言え、不意の故障でデータ消失だけは避けねばならないので、2~3ヶ月に1度、不定期にバックアップを取っています。
そのバックアップを取る方法は、最も簡単で次の通り。

3.phpMyAdminでエクスポートしてPCにダウンロードする

ものの3分で終わります。「3」の方法は、実質「1」と似たような感じで、SQLテキスト形式になります。
万一、データベースやOSが破壊されても、エクスポートした時点にまで簡単に復旧出来ます。
恐らく、次回サーバー移転をしてもぶろぐんPLUS内のリンクが、ずれることはないはずです。


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
Postfixで相変わらずな不正アクセスを阻止
Feb 8 15:59:42 sir-2 postfix/smtpd[14471]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6。
OS バージョン Debian 9「stretch」
Postfix バージョン 2.11.3


fail2banを入れてもさほど効果が出ないので、根本的にアクセス出来ないようにする方法を探ることにした。
ちょろりんとググってみると、次の方法で簡単に出来るようだ。

【main.cf】 に追加
smtpd_client_restrictions = permit_mynetworks, check_client_access hash:/etc/postfix/client_access, permit

【client_access】を作成し、次のように入力
(記入例)
137.135.42.190 REJECT
80.82.70.210 REJECT
185.222.209.14 REJECT

保存して、以下のコマンドでデータベース化
postmap /etc/postfix/client_access

最後にpostfixのサービス再起動をして終わり。


Webminで設定するなら次の通り。

PostfixによるSMTP接続拒否1


PostfixによるSMTP接続拒否2


PostfixによるSMTP接続拒否3


PostfixによるSMTP接続拒否4


PostfixによるSMTP接続拒否5


/var/log/mail.warmを見るとこんな感じ。
Feb 8 15:56:39 sir-2 postfix/postqueue[14134]: warning: Mail system is down -- accessing queue directly
Feb 8 15:59:42 sir-2 postfix/smtpd[14471]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 16:19:45 sir-2 postfix/smtpd[14790]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 16:39:57 sir-2 postfix/smtpd[15138]: warning: hostname no-reverse-dns-configured.com does not resolve to address 80.82.70.210
Feb 8 16:40:03 sir-2 postfix/smtpd[15143]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 16:40:03 sir-2 postfix/smtpd[15138]: warning: unknown[80.82.70.210]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 16:55:04 sir-2 postfix/smtpd[15269]: warning: unknown[185.222.209.14]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 17:00:26 sir-2 postfix/smtpd[15313]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 17:16:27 sir-2 postfix/smtpd[15568]: warning: hostname caribbean.edu does not resolve to address 63.131.244.10
Feb 8 17:21:02 sir-2 postfix/smtpd[15607]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 17:41:47 sir-2 postfix/smtpd[15893]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 18:02:42 sir-2 postfix/smtpd[16091]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 18:02:53 sir-2 postfix/smtpd[16091]: warning: hostname star10.b-cle.com does not resolve to address 202.222.76.235: Name or service not known
Feb 8 18:15:22 sir-2 postfix/smtpd[16489]: warning: hostname no-reverse-dns-configured.com does not resolve to address 80.82.70.210
Feb 8 18:15:28 sir-2 postfix/smtpd[16489]: warning: unknown[80.82.70.210]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 18:21:24 sir-2 postfix/smtpd[16526]: warning: unknown[185.222.209.14]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Feb 8 18:23:41 sir-2 postfix/smtpd[16561]: warning: unknown[195.22.127.122]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

ちょっと落ち着いたかな…。

記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
Fail2banの機能不全を回避
2018-01-05 18:52:23,986 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.174 -j REJECT --reject-with icmp-port-unreachable -- stdout: b''。
年末にFail2banの機能不全を発見し、その後Googleで探しつつも、日本語サイトは一つも見つからず。
結局何が原因なのか分からないけど、海外サイトでようやく見つけてPostfix-SASLだけを試しにやってみたところ機能しました。
その回避方法を説明します。


まずはエラーログ。
2017-12-27 20:45:14,204 fail2ban.filter [22428]: INFO [postfix-sasl] Found 185.222.209.14
2017-12-27 22:36:45,858 fail2ban.filter [22428]: INFO [proftpd] Found 91.200.12.53
2017-12-27 23:14:15,220 fail2ban.filter [22428]: INFO [postfix-sasl] Found 185.222.209.14
2017-12-28 01:42:50,392 fail2ban.filter [22428]: INFO [proftpd] Found 164.132.91.13
2017-12-28 01:43:20,085 fail2ban.filter [22428]: INFO [postfix-sasl] Found 185.222.209.14
2017-12-28 01:43:21,036 fail2ban.actions [22428]: NOTICE [postfix-sasl] Ban 185.222.209.14
2017-12-28 01:43:21,635 fail2ban.action [22428]: ERROR iptables -w -n -L INPUT | grep -q 'f2b-postfix-sasl[ \t]' -- stdout: b''
2017-12-28 01:43:21,636 fail2ban.action [22428]: ERROR iptables -w -n -L INPUT | grep -q 'f2b-postfix-sasl[ \t]' -- stderr: b''
2017-12-28 01:43:21,637 fail2ban.action [22428]: ERROR iptables -w -n -L INPUT | grep -q 'f2b-postfix-sasl[ \t]' -- returned 1
2017-12-28 01:43:21,637 fail2ban.CommandAction [22428]: ERROR Invariant check failed. Trying to restore a sane environment
2017-12-28 01:43:21,965 fail2ban.action [22428]: ERROR iptables -w -n -L INPUT | grep -q 'f2b-postfix-sasl[ \t]' -- stdout: b''
2017-12-28 01:43:21,965 fail2ban.action [22428]: ERROR iptables -w -n -L INPUT | grep -q 'f2b-postfix-sasl[ \t]' -- stderr: b''
2017-12-28 01:43:21,965 fail2ban.action [22428]: ERROR iptables -w -n -L INPUT | grep -q 'f2b-postfix-sasl[ \t]' -- returned 1
2017-12-28 01:43:21,980 fail2ban.CommandAction [22428]: CRITICAL Unable to restore environment
2017-12-28 01:43:21,995 fail2ban.actions [22428]: ERROR Failed to execute ban jail 'postfix-sasl' action 'iptables-multiport' info 'CallingMap({'ipmatches': <function Actions.__checkBan.<locals>.<lambda> at 0x7f0e76160c80>, 'time': 1514393001.023401, 'matches': 'Dec 27 20:45:14 sir-2 postfix/smtpd[31675]: warning: unknown[185.222.209.14]: SASL LOGIN authentication failed: UGFzc3dvcmQ6\nDec 27 23:14:15 sir-2 postfix/smtpd[1090]: warning: unknown[185.222.209.14]: SASL LOGIN authentication failed: UGFzc3dvcmQ6\nDec 28 01:43:20 sir-2 postfix/smtpd[3132]: warning: unknown[185.222.209.14]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'failures': 3, 'ip': '185.222.209.14', 'ipfailures': <function Actions.__checkBan.<locals>.<lambda> at 0x7f0e76160f28>, 'ipjailmatches': <function Actions.__checkBan.<locals>.<lambda> at 0x7f0e76160d90>, 'ipjailfailures': <function Actions.__checkBan.<locals>.<lambda> at 0x7f0e76160bf8>})': Error banning 185.222.209.14
2017-12-28 01:53:21,697 fail2ban.actions [22428]: NOTICE [postfix-sasl] Unban 185.222.209.14

IPのBANに失敗している様子。


そこで、/etc/fail2ban/jail.confの[postfix-sasl]を次のようにした。
[postfix-sasl]

port = smtp,465,submission,imap3,imaps,pop3,pop3s
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath = %(postfix_log)s
backend = %(postfix_backend)s
enabled = true
action = iptables-multiport[name=postfix-sasl, port="smtp,smtps,submission,imap3,imaps,pop3,pop3s", protocol=tcp]

とどのつまり、,「 protocol=tcp」を削除。
これでサービス再起動して様子を見ることにしました。

これでも、まだ失敗。
2018-01-05 18:41:31,160 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports smtp,smtps,submission,imap3,imaps,pop3,pop3s -j fail2ban-postfix-sasl
iptables -F fail2ban-postfix-sasl
iptables -X fail2ban-postfix-sasl -- stdout: b''
2018-01-05 18:41:31,160 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports smtp,smtps,submission,imap3,imaps,pop3,pop3s -j fail2ban-postfix-sasl
iptables -F fail2ban-postfix-sasl
iptables -X fail2ban-postfix-sasl -- stderr: b"iptables v1.6.0: invalid port/service `imap3' specified\nTry `iptables -h' or 'iptables --help' for more information.\niptables: No chain/target/match by that name.\niptables: No chain/target/match by that name.\n"
2018-01-05 18:41:31,161 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports smtp,smtps,submission,imap3,imaps,pop3,pop3s -j fail2ban-postfix-sasl
iptables -F fail2ban-postfix-sasl
iptables -X fail2ban-postfix-sasl -- returned 1
2018-01-05 18:41:31,161 fail2ban.actions [761]: ERROR Failed to execute unban jail 'postfix-sasl' action 'iptables-multiport' info '{'failures': 3, 'matches': 'Jan 5 16:56:45 sir-2 postfix/smtpd[12722]: warning: unknown[91.200.12.215]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 17:48:32 sir-2 postfix/smtpd[13447]: warning: unknown[91.200.12.215]: SASL LOGIN authentication failed: VXNlcm5hbWU6Jan 5 18:40:43 sir-2 postfix/smtpd[14488]: warning: unknown[91.200.12.215]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'ip': '91.200.12.215', 'time': 1515145243.3979373}': Error stopping action
2018-01-05 18:41:31,372 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports smtp,smtps,submission,imap3,imaps,pop3,pop3s -j fail2ban-postfix-sasl
iptables -F fail2ban-postfix-sasl
iptables -X fail2ban-postfix-sasl -- stdout: b''
2018-01-05 18:41:31,373 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports smtp,smtps,submission,imap3,imaps,pop3,pop3s -j fail2ban-postfix-sasl
iptables -F fail2ban-postfix-sasl
iptables -X fail2ban-postfix-sasl -- stderr: b"iptables v1.6.0: invalid port/service `imap3' specified\nTry `iptables -h' or 'iptables --help' for more information.\niptables: No chain/target/match by that name.\niptables: No chain/target/match by that name.\n"
2018-01-05 18:41:31,373 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports smtp,smtps,submission,imap3,imaps,pop3,pop3s -j fail2ban-postfix-sasl
iptables -F fail2ban-postfix-sasl
iptables -X fail2ban-postfix-sasl -- returned 1
2018-01-05 18:41:31,373 fail2ban.actions [761]: ERROR Failed to stop jail 'postfix-sasl' action 'iptables-multiport': Error stopping action
2018-01-05 18:41:31,373 fail2ban.jail [761]: INFO Jail 'postfix-sasl' stopped
2018-01-05 18:41:32,528 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports ftp,ftp-data,ftps,ftps-data -j fail2ban-proftpd
iptables -F fail2ban-proftpd
iptables -X fail2ban-proftpd -- stdout: b''
2018-01-05 18:41:32,531 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports ftp,ftp-data,ftps,ftps-data -j fail2ban-proftpd
iptables -F fail2ban-proftpd
iptables -X fail2ban-proftpd -- stderr: b"iptables v1.6.0: Couldn't load target `fail2ban-proftpd':No such file or directory\n\nTry `iptables -h' or 'iptables --help' for more information.\niptables: No chain/target/match by that name.\niptables: No chain/target/match by that name.\n"
2018-01-05 18:41:32,532 fail2ban.action [761]: ERROR iptables -D INPUT -p tcp -m multiport --dports ftp,ftp-data,ftps,ftps-data -j fail2ban-proftpd
iptables -F fail2ban-proftpd
iptables -X fail2ban-proftpd -- returned 1
2018-01-05 18:41:32,532 fail2ban.actions [761]: ERROR Failed to stop jail 'proftpd' action 'iptables-multiport': Error stopping action
2018-01-05 18:41:32,532 fail2ban.jail [761]: INFO Jail 'proftpd' stopped

どうやら、マルチポートで指定するのが良くないようだ。
そこで、/etc/fail2ban/jail.confの[postfix-sasl]を次のようにした。
[postfix-sasl]

port = smtp,465,submission,imap3,imaps,pop3,pop3s
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath = %(postfix_log)s
backend = %(postfix_backend)s
enabled = true
action = iptables-multiport[name=postfix-sasl, port="smtp,smtps,submission,imap3,imaps,pop3,pop3s"]


割と効果があったようだが、まだダメなようだ。
2018-01-05 18:49:58,241 fail2ban.filter [761]: INFO [postfix-sasl] Found 91.200.12.210
2018-01-05 18:50:37,061 fail2ban.filter [761]: INFO [postfix-sasl] Found 91.200.12.217
2018-01-05 18:50:48,464 fail2ban.filter [761]: INFO [postfix-sasl] Found 91.200.12.220
2018-01-05 18:51:20,084 fail2ban.filter [761]: INFO [postfix-sasl] Found 91.200.12.204
2018-01-05 18:51:45,461 fail2ban.filter [761]: INFO [postfix-sasl] Found 91.200.12.219
2018-01-05 18:52:23,746 fail2ban.actions [761]: NOTICE [postfix-sasl] Unban 91.200.12.174
2018-01-05 18:52:23,986 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.174 -j REJECT --reject-with icmp-port-unreachable -- stdout: b''
2018-01-05 18:52:23,987 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.174 -j REJECT --reject-with icmp-port-unreachable -- stderr: b'iptables: No chain/target/match by that name.\n'
2018-01-05 18:52:23,987 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.174 -j REJECT --reject-with icmp-port-unreachable -- returned 1
2018-01-05 18:52:23,987 fail2ban.actions [761]: ERROR Failed to execute unban jail 'postfix-sasl' action 'iptables-multiport' info '{'failures': 3, 'matches': 'Jan 5 17:04:26 sir-2 postfix/smtpd[12817]: warning: unknown[91.200.12.174]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 17:49:52 sir-2 postfix/smtpd[13447]: warning: unknown[91.200.12.174]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 18:36:08 sir-2 postfix/smtpd[14208]: warning: unknown[91.200.12.174]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'ip': '91.200.12.174', 'time': 1515145343.4443443}': Error unbanning 91.200.12.174
2018-01-05 18:52:24,989 fail2ban.actions [761]: NOTICE [postfix-sasl] Unban 91.200.12.207
2018-01-05 18:52:25,207 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.207 -j REJECT --reject-with icmp-port-unreachable -- stdout: b''
2018-01-05 18:52:25,207 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.207 -j REJECT --reject-with icmp-port-unreachable -- stderr: b'iptables: No chain/target/match by that name.\n'
2018-01-05 18:52:25,208 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.207 -j REJECT --reject-with icmp-port-unreachable -- returned 1
2018-01-05 18:52:25,208 fail2ban.actions [761]: ERROR Failed to execute unban jail 'postfix-sasl' action 'iptables-multiport' info '{'failures': 3, 'matches': 'Jan 5 17:05:43 sir-2 postfix/smtpd[12817]: warning: unknown[91.200.12.207]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 17:50:50 sir-2 postfix/smtpd[13447]: warning: unknown[91.200.12.207]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 18:36:27 sir-2 postfix/smtpd[14208]: warning: unknown[91.200.12.207]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'ip': '91.200.12.207', 'time': 1515145344.2789757}': Error unbanning 91.200.12.207
2018-01-05 18:52:26,210 fail2ban.actions [761]: NOTICE [postfix-sasl] Unban 91.200.12.209
2018-01-05 18:52:26,424 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.209 -j REJECT --reject-with icmp-port-unreachable -- stdout: b''
2018-01-05 18:52:26,425 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.209 -j REJECT --reject-with icmp-port-unreachable -- stderr: b'iptables: No chain/target/match by that name.\n'
2018-01-05 18:52:26,425 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.209 -j REJECT --reject-with icmp-port-unreachable -- returned 1
2018-01-05 18:52:26,425 fail2ban.actions [761]: ERROR Failed to execute unban jail 'postfix-sasl' action 'iptables-multiport' info '{'failures': 3, 'matches': 'Jan 5 17:05:28 sir-2 postfix/smtpd[12817]: warning: unknown[91.200.12.209]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 17:50:55 sir-2 postfix/smtpd[13483]: warning: unknown[91.200.12.209]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 18:36:56 sir-2 postfix/smtpd[14208]: warning: unknown[91.200.12.209]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'ip': '91.200.12.209', 'time': 1515145345.1067364}': Error unbanning 91.200.12.209
2018-01-05 18:52:26,425 fail2ban.actions [761]: NOTICE [postfix-sasl] Unban 91.200.12.215
2018-01-05 18:52:26,650 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.215 -j REJECT --reject-with icmp-port-unreachable -- stdout: b''
2018-01-05 18:52:26,651 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.215 -j REJECT --reject-with icmp-port-unreachable -- stderr: b'iptables: No chain/target/match by that name.\n'
2018-01-05 18:52:26,652 fail2ban.action [761]: ERROR iptables -D fail2ban-postfix-sasl -s 91.200.12.215 -j REJECT --reject-with icmp-port-unreachable -- returned 1
2018-01-05 18:52:26,652 fail2ban.actions [761]: ERROR Failed to execute unban jail 'postfix-sasl' action 'iptables-multiport' info '{'failures': 3, 'matches': 'Jan 5 16:56:45 sir-2 postfix/smtpd[12722]: warning: unknown[91.200.12.215]: SASL LOGIN authentication failed: UGFzc3dvcmQ6Jan 5 17:48:32 sir-2 postfix/smtpd[13447]: warning: unknown[91.200.12.215]: SASL LOGIN authentication failed: VXNlcm5hbWU6Jan 5 18:40:43 sir-2 postfix/smtpd[14488]: warning: unknown[91.200.12.215]: SASL LOGIN authentication failed: UGFzc3dvcmQ6', 'ip': '91.200.12.215', 'time': 1515145345.9329934}': Error unbanning 91.200.12.215

ただ、しっかりとBANをしているので当分このままで運用する。
iptables -Dでエラーを吐いているのは、該当するIPを特定のチェーンから削除するコマンドなので、悪さをするIPは永久BANで良いと思うんですわ。
と言うことで、もしも「いやそれは違うよ!」と言うことであれば添削プリーズ。。。

記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
TCP25ポートを閉じてみた…が!
32 unknown[84.38.133.114]: SASL LOGIN authentication failed: UGFzc...。
年末にメールセキュリティー向上を目指しながら、色々と他にもやっていた中の一つに、タイトル表記通りの事をやってみました。
実は、何かあったとき用に残していたのですが、そこを突いて悪さをしようとするヤカラがずっと続いていて、いい加減どうにかせなあかんな。と一念発起。


。。。するほどのことでもなく、Webminでネットワーク→FireWallDで「TCP」「25」にチェックを入れてDelete。
それで終わりました。
すると、メールワーニングログに吐き出される量が一気に減りました(笑)

★サーバOSバージョンアップ前[2017/12/03]★
1 unknown[93.174.93.46]: SASL PLAIN authentication failed:
1 hostname no-reverse-dns-configured.com does not resolve to addr...
1 hostname ip-98-216.4vendeta.com does not resolve to address 87....
1 hostname ip-98-221.4vendeta.com does not resolve to address 87....
1 non-SMTP command from min-10-26-14888-usnj-d-prod.binaryedge.ni...

この時も25ポートは解放していましたが、割とアタックが少なかったですね。


★サーバOSバージョンアップ後[2017/12/14]★
32 unknown[84.38.133.114]: SASL LOGIN authentication failed: UGFzc...
8 unknown[185.110.241.27]: SASL PLAIN authentication failed:
8 unknown[185.110.241.27]: SASL LOGIN authentication failed: UGFz...
6 unknown[46.21.153.68]: SASL LOGIN authentication failed: UGFzc3...
2 unknown[46.21.153.68]: SASL LOGIN authentication failed: Connec...
1 unknown[93.174.93.46]: SASL PLAIN authentication failed:
1 hostname no-rdns.mykone.info does not resolve to address 87.120...
1 hostname zg-1212a-57.stretchoid.com does not resolve to address...
1 hostname ip-98-216.4vendeta.com does not resolve to address 87....
1 hostname no-reverse-dns-configured.com does not resolve to addr...

何故かアタックが少し増えてきました。


★TCP25ポート閉鎖後[2017/12/27]★
6 unknown[185.222.209.14]: SASL LOGIN authentication failed: UGFz...
1 unknown[93.174.93.46]: SASL PLAIN authentication failed:
1 hostname no-reverse-dns-configured.com does not resolve to addr...


こんなにも変わるのなら、もっと早くにやっておけば良かったとつくづく後悔しています。
しかし!
外部から届くメールが一切不達になってしまいました。
年末年始にかけて、何かメールが少ないなぁ。と思っていたのですが、まさかメール受信が出来なくなるとは!!!
と言うことで25ポートを再度開けたところ、外部からのメールが受信出来るようになりました。
なんだかなぁ…。


折角、メールを送ったのに受け取れなかった皆様、申し訳ございませんでした!

記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
DKIMとDMARCの設定が出来ない
と書いてあるのですが、DNSサーバーの「どのゾーン」に追加するのか迄は書いていないんですよ。
メール送信詐称防止…セキュリティを高めるために、先々月から取り組んでいたのですが、SPFは辛うじて出来たのですけども、DKIMDMARCが何一つ成功しません。



なりすまし対策マニュアル「ナリタイ」を読んでいるのですが、どうしてもDNSサーバの設定で失敗するんですね。
この「ナリタイ」以外のサイトでも、DNSサーバのTXTレコードに追加するだけでOk。と書いてあるのですが、DNSサーバーの「どのゾーン」に追加するのか迄は書いていないんですよ。
だから、ローカル(127.0.0.1)だったり、sir-2.net外部ビューや内部ビューに、一つずつ入れたり、全部入れたり…。


もしかしてもしかすると、うちのサーバーは一つで運用しているから問題が発生しているのだろうか。
DNSサーバーは基本中の基本、マスターとスレーブの2台1セットを組まないとダメなんだけど、これがないからDKIMとDMARCが成功しないのだろうか。
年内に解決したかったのですが、持ち越しになります。
もう、SPFが出来たんだからそれでいいや!とも思っていたりもします(^^ゞ


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 17:26 | システム::linux | comments (0) | trackback (0)
レンタルサーバーメージャーバージョンアップ
Job for opendkim.service failed because the control process exited with error code.。
長らく放置していたレンタルサーバーのOSバージョンアップ。
ようやく、先週の12/9に実施しました。
午前中に終わるかなぁ。と思っていたのですが、想定以上に時間がかかりました。

セキュリティー系については、ほぼ完了していますが、まだ漏れているところがあります。
こちらについては、粛々と潰していきます。

アップグレード後のチェックは、メインのWebサーバとDBサーバでした。
DBサーバーは案の定、アプリが原因なのか設定ファイルが原因なのか切り分け出来なかったので、現行バージョンをアンインストールしてから最新バージョンをインストールする事で回復しました。
どんなエラーが出ていたのか、残念ながらログが取れていなかったため、証拠を出すことが出来ませんでした。
設定ファイルは何も変えていないままにスコーンと解決しました。


Webサーバは特に問題とならなかったのですが、トップページで使っているCGIの読込が失敗していました。
早速、Googleなどで検索したのですがどれもヒット(解決)せず。
もしかして、ディレクトリパスの切り方が厳格になったのかな…?と思い、

【今まで】
aaa = "sample_conf"

【修正後】
aaa = "./sample_conf"
で解決しました。

エラーログ(/var/log/apache2/error.log)を見ると下記の通り。
AH01215: Can't locate sample_conf.cgi in @INC (@INC contains.......

この系のエラーが出たら、ディレクトリパスがちゃんと切られているか確認してみて下さい。


ここまででお昼ご飯と休憩を挟んで夕方までかかりました。


そのあと、一部セキュリティーアプリを確認。
fail2banも設定が真っ新になってしまって、最初からやり直しする羽目に…。
インストール途中、エラーを吐きまくっていてどうすることも出来ないなぁ。と思って、データーベースアプリと同様に一旦アンインストールをして新規インストール。
何故か、ディレクトリ日付が2016/12/09だったので、システム日付が狂ったのか?としばし考えていた。
真っ新になった設定も、予めバックアップをしていたのでそれと比較をして、必要なところだけ修正。
一応サービス起動したので、あとは引っかかるのを待つだけです。


今後見直す箇所は、fail2banで発生したopendkimのエラー。
opendkim (2.11.0~alpha-10+deb9u1) を設定しています ...
Job for opendkim.service failed because the control process exited with error code.
See "systemctl status opendkim.service" and "journalctl -xe" for details.
invoke-rc.d: initscript opendkim, action "start" failed.
● opendkim.service - OpenDKIM DomainKeys Identified Mail (DKIM) Milter
Loaded: loaded (/lib/systemd/system/opendkim.service; enabled; vendor preset: enabled)
Active: activating (auto-restart) (Result: exit-code) since Sat 2017-12-09 11:51:42 JST; 18ms ago
Docs: man:opendkim(8)
man:opendkim.conf(5)
man:opendkim-genkey(8)
man:opendkim-genzone(8)
man:opendkim-testadsp(8)
man:opendkim-testkey
http://www.opendkim.org/docs.html
Process: 1248 ExecStart=/usr/sbin/opendkim -x /etc/opendkim.conf (code=exited, status=78)
Tasks: 0 (limit: 4915)
CGroup: /system.slice/opendkim.service

12月 09 11:51:42 sir-2.net systemd[1]: opendkim.service: Unit entered faile…te.
12月 09 11:51:42 sir-2.net systemd[1]: opendkim.service: Failed with result…e'.
Hint: Some lines were ellipsized, use -l to show in full.
dpkg: パッケージ opendkim の処理中にエラーが発生しました (--configure):
サブプロセス インストール済みの post-installation スクリプト はエラー終了ステータス 1 を返しました

これが気になるので時間のある時にチェック。
httpsについては問題ないんだけど、何かメールセキュリティーが今一つなので、こちらも改善するために検討しましょうかね。

記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: (1人)
Posted by いぐぅ 05:00 | システム::linux | comments (0) | trackback (0)
知らぬ間にメジャーバージョンアップしていたDebianとBIND DNSSEC
BIND DNSSECについて。
久しくこのレンタルサーバーで使っているLinuxOS・Debian8が今年の6月にバージョンアップ(stretch)していることを先日知りました(笑)
しかも、バージョンが9ではなく9.1とマイナーアップされていることに、時の速さを知りました。
いや、定期的にWindowsUpdateのようなことはしているんですけどね。


さて、今回レンタルサーバーでメジャーバージョンアップをするかどうか思案中です。
なんせ、レンタルサーバーでのバージョンアップ作業は初めてなのでうまく行くかどうか保証がないんですよね。
予めもう一つ用意してそこでやれば良いのですが、最初の構築でそうしなかったので難しい。
もし失敗したら最初から構築し直しになるので、取りあえず
/etc
/var
/[webデータ]
/[メールログ]
これらはバックアップを取ってローカルに保存しないとまずい。
11月を目処にバージョンアップするかな…。その時は事前告知します。


それともう一つ。BIND DNSSECについて。
これの由来はこのニュースから始まる。
10月11日の「KSKロールオーバー」鍵更新は延期、未対応のISPなど「相当な割合」あることが判明

そう言えば、2ヶ月前にやったな…。そのまんま放置していたな。
と思って実際更新されているかどうか確認出来ずにいた。
でもどうやって確認出来るのかわからなかったが、digコマンドを使えば用意で有ることが判明した。

[参考サイト:ルートゾーンKSKロールオーバーの概要と影響の確認方法 (最終更新:2017年9月29日)]

ルートゾーンKSKロールオーバーの確認方法

digコマンドとオプションコマンドを使えば一発でした。
うちはこのコマンドで得られる回答が正しく得られ、今後も安定すると考えています。
自鯖でDNSサーバーを立てられている人は、一度確認をして対策を打っておいた方が良いですよ。
ある日突然、メール送受信が出来ない、アクセスできなくなった。
と言う事態になってしまう前に。


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: (1人)
Posted by いぐぅ 05:00 | システム::linux | comments (0) | trackback (0)
SASL不正アタック!⇒ブロック!

SASL報告
これは、先々週の8/8から断続的にメールアカウントアタックして規定回数以上失敗し、該当IPアドレスをロックアウト(アクセス禁止)にしたよ。
画像はデカイですよ(^^)


と言うメールです。
これまで、1週間に2~3通だったのが、1日に100通以上届くので、これは異常だ!と判断しました。
似たようなIPアドレスだけをブロックしても効果ないので、当該IPアドレスに払い出ししている企業(だいたい、個人で1個のIPアドレスを売ることは絶対ない。)を、メールだけでなくsir-2.netへのアクセスそのものをブロックすることにした。


そんな事出来るのか?
と言うと、Linux用語的にTCP Wrapperで設定すれば簡単に出来る。
TCP Wrapperって?と何かさっぱり分からなくなるが、特に難しいことではない。
/etc/ ディレクトリに、「hosts.deny」を作ってそこにIPアドレスを書けば良いのです。
こんな感じで書けばOk。
/etc/hosts.deny: list of hosts that are _not_ allowed to access the system.
# See the manual pages hosts_access(5) and hosts_options(5).
#
# Example: ALL: some.host.name, .some.domain
# ALL EXCEPT in.fingerd: other.host.name, .other.domain
#
# If you're going to protect the portmapper use the name "rpcbind" for the
# daemon name. See rpcbind(8) and rpc.mountd(8) for further information.
#
# The PARANOID wildcard matches any host whose name does not match its
# address.
#
# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.

ALL:200.95.172.0/22
ALL:111.118.128.0/19
ALL:81.128.0.0/12
ALL:94.56.0.0/14
ALL:41.226.0.0/16
ALL:196.40.24.96/27
ALL:12.0.0.0/8
ALL:116.48.128.0/19
ALL:84.18.128.0/19
ALL:41.220.193.0/24
ALL:13.96.0.0/13
ALL:13.64.0.0/11
ALL:13.104.0.0/14
ALL:200.168.0.0/17
ALL:211.35.70.0/24
ALL:182.18.0.0/17
ALL:201.20.96.0/24
ALL:70.48.0.0/13
ALL:1.186.128.0/24
ALL:1.208.0.0/11
ALL:101.109.254.0/24
ALL:101.160.0.0/16
ALL:101.37.0.0/16
ALL:101.78.128.0/17
ALL:101.98.0.0/16
ALL:103.19.18.0/24
ALL:103.225.92.0/22
ALL:103.254.107.0/24
ALL:103.9.156.0/19
ALL:104.140.0.0/16
ALL:104.160.160.0/19
ALL:104.232.36.128/25
ALL:105.229.0.0/16
ALL:109.125.140.0/22
ALL:109.86.227.0/24
ALL:111.0.0.0/10
ALL:111.67.192.0/20
ALL:111.93.62.0/24
ALL:112.216.0.0/13
ALL:112.74.0.0/16
ALL:113.240.0.0/13
ALL:113.64.0.0/16
ALL:119.254.0.0/16
ALL:12.130.128.0/18
ALL:120.24.0.0/14
ALL:120.26.0.0/15
ALL:123.56.128.0/19
ALL:125.212.128.0/17
ALL:148.248.0.0/15
ALL:148.208.0.0/12
ALL:148.202.0.0/15
ALL:148.224.0.0/12
ALL:148.204.0.0/14
ALL:148.240.0.0/13,
ALL:148.201.0.0/16
ALL:148.250.0.0/16
ALL:149.255.32.0/21
ALL:156.67.106.0/24
ALL:163.172.0.0/16
ALL:165.132.0.0/15
ALL:167.88.0.0/20
ALL:173.200.0.0/16
ALL:177.135.97.248/29
ALL:177.37.128.0/17
ALL:178.159.36.0/24
ALL:178.32.0.0/15
ALL:178.79.42.0/24
ALL:178.82.0.0/16
ALL:181.20.0.0/14
ALL:181.44.0.0/15
ALL:184.107.0.0/16
ALL:184.64.0.0/13
ALL:185.104.193.0/24
ALL:185.145.253.0/24
ALL:185.165.29.0/24
ALL:185.68.192.0/22
ALL:185.81.156.0/22
ALL:186.136.0.0/15
ALL:186.228.0.0/15
ALL:186.96.80.0/20
ALL:188.87.0.0/16
ALL:189.207.0.0/16
ALL:189.72.0.0/14
ALL:190.0.0.0/19
ALL:190.115.128.0/18
ALL:190.119.0.0/16
ALL:190.167.194.32/29
ALL:190.171.221.240/29
ALL:190.18.0.0/15
ALL:190.210.128.0/18
ALL:190.220.9.24/29
ALL:190.25.0.0/16
ALL:190.252.0.0/14
ALL:190.255.176.88/29
ALL:190.43.160.0/19
ALL:190.60.0.0/15
ALL:190.8.128.0/19
ALL:190.90.8.224/27
ALL:190.96.160.0/19
ALL:191.102.64.0/18
ALL:191.32.0.0/14
ALL:191.8.0.0/14
ALL:193.107.244.0/22
ALL:195.97.0.0/18
ALL:197.159.160.0/19
ALL:197.237.0.0/16
ALL:197.245.0.0/16
ALL:198.27.64.0/18
ALL:199.227.116.232/29
ALL:2.137.0.0/16
ALL:200.105.192.0/19
ALL:200.119.64.0/18
ALL:200.121.128.0/25
ALL:200.124.242.80/29
ALL:200.143.32.0/19
ALL:200.188.128.0/20
ALL:200.252.5.208.0/28
ALL:200.38.224.0/19
ALL:200.41.128.0/17
ALL:200.49.128.0/19
ALL:200.5.192.0/18
ALL:201.161.16.32/27
ALL:201.190.128.0/17
ALL:201.193.64.0/19
ALL:201.33.192.0/20
ALL:201.96.0.0/12
ALL:202.170.70.0/24
ALL:202.61.51.0/24
ALL:203.122.10.0/24
ALL:203.189.128.0/19
ALL:206.169.0.0/16
ALL:208.105.0.0/16
ALL:208.181.0.0/16
ALL:209.183.21.0/24
ALL:209.183.22.0/23
ALL:209.183.24.0/21
ALL:209.222.111.160/27
ALL:209.240.96.0/20
ALL:210.51.0.0/16
ALL:212.227.0.0/16
ALL:212.83.128.0/19
ALL:213.105.0.0/17
ALL:213.176.234.0/23
ALL:221.224.0.0/14
ALL:223.64.0.0/11
ALL:23.91.64.0/20
ALL:24.123.0.0/17
ALL:24.213.128.0/17
ALL:27.106.13.0/24
ALL:27.38.0.0/16
ALL:31.169.66.0/24
ALL:37.131.172.0/22
ALL:37.19.95.0/24
ALL:37.49.224.0/24
ALL:38.0.0.0/8
ALL:4.0.0.0/8
ALL:40.64.0.0/13
ALL:41.73.96.0/19
ALL:46.10.200.0/21
ALL:46.102.224.0/21
ALL:46.105.0.0/16
ALL:46.175.22.0/24
ALL:47.180.0.0/15
ALL:47.176.0.0/14
ALL:47.136.0.0/13
ALL:47.160.0.0/12
ALL:47.144.0.0/12
ALL:5.2.128.0/17
ALL:5.88.0.0/13
ALL:52.152.0.0/13
ALL:52.160.0.0/11
ALL:52.146.0.0/15
ALL:52.145.0.0/16
ALL:52.148.0.0/14
ALL:58.18.0.0/16
ALL:62.112.8.0/22
ALL:65.51.198.16/29
ALL:66.191.96.0/20
ALL:68.115.48.0/20
ALL:69.74.215.0/29
ALL:71.168.0.0/18
ALL:71.161.224.0/19
ALL:71.164.0.0/14
ALL:71.162.0.0/15
ALL:87.236.215.0/24
ALL:88.220.0.0/16
ALL:89.179.242.0/24
ALL:89.200.0.0/17
ALL:72.136.0.0/13
ALL:74.140.0.0/15
ALL:74.128.0.0/13
ALL:74.136.0.0/14
ALL:79.148.0.0/16
ALL:79.64.0.0/12
ALL:80.152.0.0/14
ALL:80.229.0.0/16
ALL:80.82.65.0/24
ALL:80.82.77.0/24
ALL:80.82.78.0/24
ALL:81.244.0.0/14
ALL:83.8.0.0/13
ALL:83.136.80.0/21
ALL:84.128.0.0/10
ALL:84.243.192.0/18
ALL:85.187.224.0/21
ALL:85.72.0.0/16
ALL:85.73.128.0/18
ALL:85.99.128.0/17
ALL:86.35.128.0/17
ALL:87.121.98.0/24
ALL:87.236.213.0/24
ALL:87.236.215.0/24
ALL:88.220.0.0/16
ALL:89.179.242.0/24
ALL:89.200.0.0/17
ALL:89.247.0.0/16
ALL:89.248.160.0/21
ALL:89.248.168.0/24
ALL:89.248.170.0/23
ALL:89.248.172.0/23
ALL:89.96.0.0/16
ALL:91.200.12.0/22
ALL:92.246.0.0/19
ALL:93.118.96.0/19
ALL:93.149.0.0/16
ALL:93.174.88.0/21
ALL:94.102.48.0/20
ALL:94.64.0.0/16
ALL:94.71.0.0/16
ALL:96.45.240.0/21
ALL:96.112.0.0/13
ALL:96.64.0.0/11
ALL:96.96.0.0/12
ALL:96.124.0.0/16
ALL:96.120.0.0/14
ALL:96.86.128.0/19
ALL:98.164.136.0/21
ALL:98.179.144.0/21
ALL:148.240.0.0/13

これを8/9の夜に設定。


単発IPではなく、払い出ししたIPアドレスまるごと設定。
その為、真っ当な人もいるけれども仕方なし。
ALLにしていると、メールだけでなく、ホームページもftpも全てのサービスを拒否してくれる。
当分は様子見かな。再発したらバシッと締めてやるか。



記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 05:00 | システム::linux | comments (0) | trackback (0)
DNSサーバの更新が必要だそうです

DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性

自前サーバーを持っていない人には関係ありませんが…。
持っていてもDNSは外部DNSサーバーに頼っている場合も関係ありませんが…。
総務省から直々の通達で、更新をしないとダメのようです。


DNSSECは以前チャレンジして挫折したのを思い出した…。
と思ったら勘違いしていた。
DNSSECではなく、メールセキュリティー関係だった。
メールサーバーの配信信用度を上げる(SPF編)-postfix & debian


DKIMDMARCをやろうとして途中挫折してそのまんまやった。
こっちもそろそろ本腰を入れないとなぁ。


でも、SPFを導入したお陰で変な不達メールが劇的に減った気がします。
ただ、ちゃんと届いているかどうかが心配ではありますが(^^ゞ


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 05:00 | システム::linux | comments (0) | trackback (0)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30