May 15 10:45:15 ***** kernel: IN=pppoe0 OUT= MAC= SRC=89.131.109.60 DST=xx.xx.xx.xx LEN=48 TOS=0x00 PREC=0x00 TTL=109 ID=56795 DF PROTO=TCP SPT=1914 DPT=4555 WINDOW=25200 RES=0x00 SYN URGP=0
May 15 10:45:16 ***** kernel: IN=pppoe0 OUT= MAC= SRC=81.208.83.254 DST=xx.xx.xx.xx LEN=48 TOS=0x00 PREC=0x00 TTL=35 ID=23022 DF PROTO=TCP SPT=51645 DPT=4555 WINDOW=65535 RES=0x00 SYN URGP=0
May 15 10:45:23 ***** kernel: IN=pppoe0 OUT= MAC= SRC=189.6.148.195 DST=xx.xx.xx.xx LEN=48 TOS=0x00 PREC=0x00 TTL=107 ID=19264 DF PROTO=TCP SPT=4167 DPT=4555 WINDOW=20888 RES=0x00 SYN URGP=0

朝からずっとこんな調子なんですが、これはいったい何だろうか。しかも1台だけ。

アクセス元は中国だったり、スペインだったり、フランスだったりなのでボットネットなのでしょうが…


　　ワケ　　　　　ワカ　　　　 　 ラン
　 ∧＿∧　　　∧＿∧　　　　∧＿∧
　（　・∀・）　　（　・∀・）　　　（　・∀・）
⊂　⊂　 ）　　（　Ｕ　　つ　　⊂__へ　つ
　<　<　<　　　　）　）　）　　　　　（＿）|
　（＿（＿）　　（_＿）＿）　　　 彡（_＿）


＃追記 (2008/5/16 03:45)

ポート4555は、ApacheJamesというJavaで書かれたメールサーバが使っている管理ポートなのだそうな。

ApacheJamesの管理ポートに接続して、メール送信用のアカウントを登録して、そのアカウントを使ってポート25番で送信するような仕掛けになってるんでしょうかね。

ApacheJamesの管理用ユーザとパスワードのデフォルトは、root/rootになってて、変更してない人も多そう。
4555が塞いであれば問題にはならないんですが。

勝手に推測するならコレはスパム絡みだと思うんですが、全然違うかもしれません。なんせ1台だけだし。

5/14の朝から20時間の総接続拒否数は18500回ほどになっています。

＃追記

2008/5/18 夕方頃収束しました。