ポート25のトラフィックの氾濫

tag-icon tag-icon smtp sendmail
ポート25のトラフィックの氾濫

ポート 25 で数千件のヒットが発生し、1 日で 400,000 件を超える接続が発生します。

Debian 7 で sendmail のデフォルト設定を使用しています。メールサーバーは構成されていません。

以下のNginxアクセスログをご覧ください

root@zone:/usr/local/nginx/logs# tail access.log
61.231.81.100 - - [12/Sep/2013:23:56:46 +0530] "CONNECT 203.188.197.111:25 HTTP/1.0" 400 172 "-" "-"
61.231.82.166 - - [12/Sep/2013:23:56:46 +0530] "CONNECT 27.123.206.55:25 HTTP/1.0" 400 172 "-" "-"
61.228.19.219 - - [12/Sep/2013:23:56:46 +0530] "CONNECT 203.188.197.111:25 HTTP/1.0" 400 172 "-" "-"
61.231.83.31 - - [12/Sep/2013:23:56:47 +0530] "CONNECT 114.34.96.143:25 HTTP/1.0" 400 172 "-" "-"
61.228.19.219 - - [12/Sep/2013:23:56:47 +0530] "CONNECT 203.188.197.119:25 HTTP/1.0" 400 172 "-" "-"
61.231.82.166 - - [12/Sep/2013:23:56:47 +0530] "CONNECT 27.123.206.55:25 HTTP/1.0" 400 172 "-" "-"
61.231.90.113 - - [12/Sep/2013:23:56:47 +0530] "CONNECT 27.123.206.55:25 HTTP/1.0" 400 172 "-" "-"
61.231.84.210 - - [12/Sep/2013:23:56:47 +0530] "CONNECT 203.188.197.111:25 HTTP/1.0" 400 172 "-" "-"
61.231.82.166 - - [12/Sep/2013:23:56:47 +0530] "CONNECT 203.188.197.111:25 HTTP/1.0" 400 172 "-" "-"
61.231.87.39 - - [12/Sep/2013:23:56:47 +0530] "CONNECT 27.123.206.55:25 HTTP/1.0" 400 172 "-" "-"

これでNginxからサブネット全体をブロックできました

deny 61.231.0.0/16;
deny 61.228.0.0/16;

以下のアクセスログを取得しています:

tail access.log
111.241.32.138 - - [13/Sep/2013:01:12:02 +0530] "GET http://www.google.com.tw/ HTTP/1.1" 403 570 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
111.241.32.138 - - [13/Sep/2013:01:12:02 +0530] "CONNECT mta7.am0.yahoodns.net:25 HTTP/1.0" 400 172 "-" "-"
184.75.210.226 - - [13/Sep/2013:01:12:38 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
61.231.2.232 - - [13/Sep/2013:01:12:38 +0530] "GET http://www.google.co.jp HTTP/1.1" 403 570 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
61.231.2.232 - - [13/Sep/2013:01:12:39 +0530] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 400 172 "-" "-"
61.231.87.103 - - [13/Sep/2013:01:12:44 +0530] "GET http://www.google.com/intl/zh-CN/ HTTP/1.1" 403 570 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
61.231.87.103 - - [13/Sep/2013:01:12:45 +0530] "CONNECT mta5.am0.yahoodns.net:25 HTTP/1.0" 400 172 "-" "-"
61.231.83.158 - - [13/Sep/2013:01:12:55 +0530] "GET http://www.google.com.tw HTTP/1.1" 403 570 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
61.231.83.158 - - [13/Sep/2013:01:12:56 +0530] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 400 172 "-" "-"
61.228.22.143 - - [13/Sep/2013:01:13:09 +0530] "GET http://www.google.com/ HTTP/1.1" 403 570 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"

iptables からサブネットをブロックし、それらのサブネットからのトラフィックの取得を停止しました。

-I INPUT -s 61.231.0.0/16 -j DROP
-I INPUT -s 111.241.0.0/16 -j DROP
-I INPUT -s 61.228.0.0/16 -j DROP
 tail access.log
78.40.124.16 - - [13/Sep/2013:02:53:39 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
67.205.67.76 - - [13/Sep/2013:02:54:38 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
46.165.195.139 - - [13/Sep/2013:02:55:39 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
46.165.195.139 - - [13/Sep/2013:02:55:40 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
174.34.162.242 - - [13/Sep/2013:02:56:38 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
123.125.71.114 - - [13/Sep/2013:02:56:44 +0530] "GET / HTTP/1.1" 200 8553 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
220.181.108.153 - - [13/Sep/2013:02:56:55 +0530] "GET / HTTP/1.1" 200 23153 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
95.141.32.46 - - [13/Sep/2013:02:57:38 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
95.211.217.68 - - [13/Sep/2013:02:58:38 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
91.109.115.41 - - [13/Sep/2013:02:59:38 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"

誰かが私のサーバーのホスト名または IP を SMTP として使用していると思います。
これはクライアントの Web サイトであり、グローバル アクセスがあるため、同じサブネットから Web サイトにアクセスしている実際のユーザーが影響を受ける可能性があるため、この問題を解決するための永続的な解決策を提案してください。

どうすればこれを止められるでしょうか?

答え1

実際には、Web サーバー経由でポート 25 ではなくポート 80 でトラフィックを受信します。

このトラフィックは、トラフィックの発信元を隠すために、サーバーをプロキシとして使用しようとしています。このようなサーバーは一般にオープン プロキシと呼ばれ、スパムを配信したり、他のサイトへの攻撃を行ったりするのに非常に便利です。

何らかの理由で、あなたの IP アドレスにオープンプロキシサーバーがあると考える人もいるようですが、ログエントリにはリクエストが拒否されていることが示されています。

リクエストの量が多すぎる場合は、nginx で単に拒否するのではなく、IP アドレス ブロックをファイアウォールで遮断することをお勧めします。例:

iptables -I INPUT -s 61.231.0.0/16 -j DROP

関連情報