サーバーを再設置した際に、メールサーバーRadishの設定を間違えていたためスパムの踏み台にされてしまった。その後対策をしたがすでに遅し...一度踏み台にされたサーバーは登録されてアクセスの集中。ログがゴミだらけになってしまった。
とりあえず大事なメールや信頼できるサーバーのIPやらホストだけはスルーさせてパケットフィルタでほぼ遮断してみた。数日したらアクセスがなくなったのでまた開放したら集中攻撃が開始されました(T_T)
どうもスパム送信者は台湾人の可能性が高いようだ。送信先が台湾ばっかりなので勝手に判断。台湾とは全く取引ないので台湾からのメールサーバーへのアクセスは完全遮断。次にその台湾人(?)はインドのサーバーも経由しているようなのでインドからのアクセスも完全遮断。まあ、不明なホストもあるだろうから完全でではないかな。
ルーターのパケットフィルタで設定してもよかったがあまりにも多くいちいち設定していると他のPCまで使えなくなる。それに面倒。結局少しの回線を犠牲にしてTCP Monitor Plusを使ってみた。最初はこのモニターのパケットフィルタ機能を使っていたが、あまりに多くのホストやIPからアクセスされるので例えば255.***.***.***.***みたいに255以下すべてのIPを遮断してみたりとしていたが、知らずうちに重要なメールサーバーまでも遮断していたりと不都合がでてきた。
そのためセッションの切断機能を使用してDNS逆引きできないIPと台湾、インドその他中国や怪しいホスト名が使われているものを切断するように設定。最初はいつも通りにアクセス集中で1週間位したらだいぶ減ってきた。その後スパムの登録リストから除外されたようだった。
それでもランダムなpassやIDを使って攻撃してきますがきちんと管理してそのIPを遮断すればOK。一応、これで撃退できました。せっかく5つ目のドメイン取得したのに...
