不審なアクセスを自動でブロックしてくれるswatchを導入

まだ稼働して2週間も経っていないこのサーバですが、logwatchからのレポートにメールアカウントを探るアタックがありました。

——————— vpopmail Begin ————————

No Such User Found:
aiden@v157-7-129-206.myvps.jp – 1 Time(s)
alexander@v157-7-129-206.myvps.jp – 1 Time(s)
benjamin@v157-7-129-206.myvps.jp – 1 Time(s)
ethan@v157-7-129-206.myvps.jp – 1 Time(s)
jack@v157-7-129-206.myvps.jp – 1 Time(s)
jackson@v157-7-129-206.myvps.jp – 1 Time(s)
jacob@v157-7-129-206.myvps.jp – 1 Time(s)
james@v157-7-129-206.myvps.jp – 1 Time(s)
jayden@v157-7-129-206.myvps.jp – 1 Time(s)
liam@v157-7-129-206.myvps.jp – 1 Time(s)
logan@v157-7-129-206.myvps.jp – 1 Time(s)
lucas@v157-7-129-206.myvps.jp – 1 Time(s)
mason@v157-7-129-206.myvps.jp – 1 Time(s)
matthew@v157-7-129-206.myvps.jp – 1 Time(s)
noah@v157-7-129-206.myvps.jp – 1 Time(s)
ryan@v157-7-129-206.myvps.jp – 1 Time(s)
william@v157-7-129-206.myvps.jp – 1 Time(s)

———————- vpopmail End ————————-

/var/log/maillogの該当ログを確認。

Aug 26 22:31:38 v157-7-129-206 vpopmail[9547]: vchkpw-smtp: vpopmail user not found aiden@v157-7-129-206.myvps.jp:174.142.222.3

 

放置していると面倒なことになりそうなので、Swatchを入れて監視・ブロックすることにしました。

手順はこちらを参考にしました。

ログ監視ツール導入(SWATCH) – CentOSで自宅サーバー構築

 

このサーバではPerlのモジュールが足りないらしく、/var/log/swatch/swatch.logにこんなエラーが出ました。

Can't locate File/Tail.pm in @INC (@INC contains: /usr/local/lib64/perl5 /usr/local/share/perl5 /usr/lib64/perl5/vendor_perl /usr/share/perl5/vendor_perl /usr/lib64/perl5 /usr/share/perl5 .) at /tmp/.swatch_script.11953 line 90.
BEGIN failed--compilation aborted at /tmp/.swatch_script.11953 line 90.

 

あとはatコマンドもないようなので一緒にインストール。

# yum install at perl-File-Tail

で解決。