Angriffe von Telekom IP`s

[justustheis]

Abend,

ich habe heute Abend (so seit 22:00 Uhr) ein unverhältnismäßiges großes Grundrauschen von Telekom IP Adressen.

Fail2Ban sperren (nach 3 Fehlversuchen)

ca 150x courierauth
ca 200x ssh

in 1 1/2 Stunden.

Ist das bei anderen auch so, oder darf ich hier von einem echten Angriff auf meinen Server ausgehen?

Meine Latenz ist jedoch normal und ein DDos kann ich glaube ich ausschließen (iptraf zeigt nichts besonderes, außer eben die fehlgeschlagenen Loginversuche).

Also während ich hier schreibe geht es munter weiter. Macht es Sinn aus Sicherheitsgründen den mailServer offline zu nehmen? SSH gibts eh keine chance, der ist mit Key

 

[svenr]

Alle 30 Sekunden also ein Fehlversuch auf Courier... Grundrauschen halt.
Wenn Dir langweilig ist .. bissl Abuse. Doch ansonsten, kein Grund sich da Sorgen zu machen.

Gruß Sven

 

[justustheis]

danke für die schnelle Antwort.

Ok wenn das normal ist. Bin das noch nicht so gewöhnt und wurde etwas hysterisch, als ich knapp 200 Email von fail2ban und ossec bekommen habe.

Normalerweise bekomme ich so 3-4 mal am Tag höchstens eine Meldung von fail2ban.

 

[svenr]

Reicht ja schon wenn heute dein Mailserver grade von einer tollen PW liste Scannen *Abgearbeitet* wird.. das schaut dann in etwa so aus im Log. Wenn die Liste durch ist .. wieder Ruhe (Kann ein Szenario sein)
Die Logs werden dir genaueres liefern was genau passiert.

Gruß Sven

 

[justustheis]

ja tun sie. Ganz normale Passwort Sucherei. Jedoch seltsamerweise mit korrekter EMail Adresse. Normalerweise steht da dann ja
user: backup
passw: password123

aber hier sind es korrekte adressen.

 

[svenr]

An passende Adressen zu kommen ist ja auch nicht wirklich das Problem.
Da mag zwar wer gezielt Scannen. Aber bei dem Tempo ist der in 1000 Jahren noch nicht weiter Ne Abuse würd ich mir in dem Fall wenn ich grad Zeit hab jedoch nicht verkneifen.

Gruß Sven

 

[justustheis]

ok. Danke für deine Hilfe zu so später Stunde

Die abuse ist raus.