Angriffe - heute 04.07.2013...

  • Thread starter Thread starter Deleted member 14254
  • Start date Start date
D

Deleted member 14254

Guest
Moin Forum :)

Ich wollte fragen, ob Ihr heute auch im Laufe des Vormittags Angriffe auf Ports 80,443 / 110,143 / 993,995 / 25,587 / ssh-Ports / hattet.

Und zwar von IP-Adressen aus Holland: 95.211.223.32 und 85.17.130.58.

Also bei mir wurde so ziemlich alles an Ports (obige) angegriffen, was nur offen war: Apache/Postfix/Dovecot/ssh/sshddos - Filter schlugen in f2b an.

Zudem wurde, wie noch nie bisher (seit 1 Jahr Laufzeit des Servers) versucht Spam an mein admin-Postfach durchzudrücken. Blieb aber jedesmal an Greylisting hängen (nicht durchgestellt worden).
 
Ja, so ca. gegen 17:25.
Aber das ist harmlos.
ich hatte vor einer Woche mehrere Tage lang extreme Versuche (z. T. 30 Angreifer-IPs/Minute) gegen postfix auf manchen System.
 
Spam kann ich bestätigen, da hatte ich innerhalb einer Stunde auf einem System über 85.000 Einlieferungsversuche mehr als gewöhnlich.
Aber der Rest hielt sich eigentlich sehr im Rahmen des üblichen Rauschens.
 
Danke für Eure schnellen Responses, Gord_Gurke & GwenDragon :)

Diese 85.x.x.x-Adressen habe ich seit einigen Tagen laufend schon bemerkt. 30-IP/Min ist natürlich echt der Hammer! Da lob ich mir wirklich den Aufwand, ein Hardened-System erstellt zu haben. Trotz allem, entweder ich habe Joe's Server-Beginner's HowTo damals zu oft gelesen und Ben's "Dein Erster Server" ;) oder ich bin langsam echt para... - mulmig wird es mir wirklich jedesmal, wenn ich innerhalb von Minuten an die 20 Mails von F2B aufs MobiPhone zugestellt bekomme.

Gerade sah ich, das ich auch einen 33Zugriffsversuche/Min-Eintrag heute hatte. (ein bisschen gekürzt)

Code: 
Jul  4 08:14:21 svr001 postfix/smtpd[29312]: disconnect from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29313]: timeout after CONNECT from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29313]: disconnect from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29314]: timeout after CONNECT from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29314]: disconnect from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29315]: timeout after CONNECT from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29315]: disconnect from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29332]: timeout after CONNECT from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29332]: disconnect from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29333]: timeout after CONNECT from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29333]: disconnect from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29316]: timeout after CONNECT from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29316]: disconnect from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29321]: timeout after CONNECT from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29321]: disconnect from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29330]: timeout after CONNECT from unknown[116.203.123.49]
Jul  4 08:14:22 svr001 postfix/smtpd[29330]: disconnect from unknown[116.203.123.49]
Jul  4 08:17:42 svr001 postfix/anvil[29281]: statistics: max connection rate 33/60s for (smtp:116.203.123.49) at Jul  4 08:09:21
Jul  4 08:17:42 svr001 postfix/anvil[29281]: statistics: max connection count 32 for (smtp:116.203.123.49) at Jul  4 08:09:21
Jul  4 08:17:42 svr001 postfix/anvil[29281]: statistics: max cache size 2 at Jul  4 08:09:17

Mein F2B läuft mit Backend "pyInotify". Gamin kann ich nicht nutzen (wegen hardened-PaX). Nur lief die Vorgängerversion 0.8.8 mit pyInotify unzuverlässig. Nach dem nächtlichen Logrotate beachtete F2B die neuen leeren Logfiles nicht mehr. Da hatte ich mal vor 2 Monaten nachts einen 3 Stündigen Versuch. Das Logfile war an die 20MB groß :((

Dann habe ich mir Start/Stop-Scripte angelegt, die vor dem Logrotate den F2B-Dienst beendeten und wieder starteten. Mit F2B-0.8.10 ist das GOTTSEIDANK behoben worden :rolleyes:
 
Last edited by a moderator:
Vielleicht hat das Subnetz in dem dein Server steht heute einfach in der großen Botnetz-Lotterie gewonenn ;)
Ich sehe in meinem F2B-Postfach nicht mehr als sonst. Außer dass bei bei $französischerProvider offenbar wieder die großen "Lasst weltweit die VoIP-Server hacken"-Los-Wochos begonenn haben.

Btw: Solche Floods auf bestimmte Dienste habe ich bei mir wunderbar im Zaum, indem ich nur eine gewisse SYN-Rate zulasse (die aber auch schon sehr optimistisch ist!).
 
Lord_Gurke said:
...Außer dass bei bei $französischerProvider offenbar wieder die großen "Lasst weltweit die VoIP-Server hacken"-Los-Wochos begonenn haben...
Click to expand...

"Los_Wochos" ;) Der war gut! :) Oder die Ferien haben schon begonnen, auch ein "Los_Wochos"-Event...

@virtual2,

Ist halt ein "komisch-melanchonisches" Gefühl in der Magengrube, wenn versucht wird, den Server zu kompromittieren, bzw. wenn einem dann die Szenarien (möglichen Szenarien) wieder vor Augen geführt werden, die man in "Warnhinweisen zum eigenen Root" mal in versch. HowTo's las. :o
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top