カテゴリー
ソフトウェア

メールサーバーに不正ログインの形跡がないかチェックする

はじめに

Postfix への接続開始のログをもとに、簡易的にチェックする方法です。

Postfix のログから接続ログのみを grep コマンドで抽出して、アクセス元のホスト毎に何件ずつあるかを awk コマンドで集計、件数が多いもの順に sort コマンドで並べ替え、をしています。

この結果から、不明なホストからの接続数が多いもの、がないか、確認できるようになります。

$ sudo grep "connect from" /var/log/maillog |
       grep -v "disconnect from" |
       awk '{count[$8] += 1} END {for(i in count) printf("%08d,%s\n", count[i], i)}' |
       sort -r

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください