2005-02-15

攻撃されている!?

ADVENBBSのriver鯖(river.advenbbs.net)のSysstatsを見ると、定期的にとんでもない負荷が発生している。

ログの解析は以下のような感じ。

これは、ヤバイ。なんか攻撃を受けているかも。

負荷が高くなるのは決まって毎時8分から。
そこで、apacheのログを確認したところ、とくに怪しい外部アクセスはない。アクセスが集中すると言うこともナシ。
そこで、topコマンドでシステムを監視し、どのプロセスが負荷をかけているかチェックすることにした。

すると、8時8分。犯人を発見。
sendmailであった。

ということは、不正な中継の踏み台にされている?
しかし、外部からの中継を許可した覚えはない。そんなことを見つつログを見ていると、超大量なメールがスプールにたまっている!
どうやら、この膨大なデータの処理で負荷がかかってるらしい。
だとすると、メールボムか!

と思って内容を見てみると、Sysstatsがルート宛に宛てたログのデータが規定を超過しているというメールだった……。
ていうか、毎分メールをしている……。送りすぎ!

スプールにたまったデータを全部消して、ログファイルも削除したらsendmailの暴走も収まった。
とりあえずはサーバがダウンするほど負荷がかかるまえに気が付いて良かったと思うのである。