Angriffsversuch / Welche Gegenmaßnahmen ergreifen?

[d3p]

Hallo,

ich habe mal wieder Grundrauschen in Form von Bruteforceattacken auf folgende Dienste:
-Mail
-FTP
-SSH

Auszug der Angriffe:

Dec 28 05:37:04 HOSTNAME proftpd[21031]: 178.33.XX.XXX (95.76.XX.XX[95.76.XX.XX]) - USER admin@MEINE-DOMAIN.tld: no such user found from 95.76.XX.XX [95.76.XX.XX] to 178.33.XX.XXX:21
Dec 28 08:54:02 HOSTNAME proftpd[26811]: 178.33.XX.XXX (95.76.XX.XX[95.76.XX.XX]) - USER admin123@MEINE-DOMAIN.tld: no such user found from 95.76.XX.XX [95.76.XX.XX] to 178.33.XX.XXX:21
Dec 28 12:10:22 HOSTNAME proftpd[2498]: 178.33.XX.XXX (95.76.XX.XX[95.76.XX.XX]) - USER root@MEINE-DOMAIN.tld: no such user found from 95.76.XX.XX [95.76.XX.XX] to 178.33.XX.XXX:21

Dec 28 15:10:06 HOSTNAME postfix/smtpd[10640]: connect from 114-44-XX-XX.dynamic.hinet.net[114.44.XX.XX]
Dec 28 15:10:07 HOSTNAME postfix/smtpd[10640]: NOQUEUE: reject: RCPT from 114-44-XX-XX.dynamic.hinet.net[114.44.XX.XX]: 554 5.7.1 <E-MAIL@yahoo.com.tw>: Relay access denied; from=<E-MAIL@yahoo.com.tw> to=<E-MAIL@yahoo.com.tw> p
roto=SMTP helo=<178.33.XX.XX>

Ich habe schon fail2ban aktiviert:

jail.conf:

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=SSH, dest=webmaster@MEINE-DOMAIN.tld, sender=webmaster@MEINE-DOMAIN.tld]
logpath  = /var/log/secure
maxretry = 3
bantime  = 7200

[proftpd-iptables]

enabled  = true
filter   = proftpd
action   = iptables[name=ProFTPD, port=ftp, protocol=tcp]
           sendmail-whois[name=ProFTPD, dest=webmaster@MEINE-DOMAIN.tld, sender=webmaster@MEINE-DOMAIN.tld]
logpath  = /var/log/proftpd/proftpd.log
maxretry = 3
bantime  = 7200

# This jail forces the backend to "polling".

[sasl-iptables]
enabled  = true
filter   = sasl
backend  = polling
action   = iptables[name=sasl, port=smtp, protocol=tcp]
           sendmail-whois[name=sasl, dest=webmaster@MEINE-DOMAIN.tld, sender=webmaster@MEINE-DOMAIN.tld]
logpath  = /var/log/mail.log
maxretry = 3
bantime = 7200

-------------------

Verbesserungsvorschläge?

Wie man sieht, sinds meistens Provider/IP´s aus dem Osten, Russland, Ukraine etc.

Abusemails helfen hierbei wahrscheinlich nicht weiter, oder?

Gruß,

 

[d4f]

Das ist wie du selbst sagst schlicht Grundrauschen - Server sind ständig Brute-force Versuchen ausgesetzt. Du kannst es durch Fail2ban und andere Maßnahmen (Nicht-Default Port, Port-Knocking, ...) stark reduzieren aber wirklich verhindern wohl kaum.

Abuse-Meldungen sind generell selbst bei deutschen DSL-Provider nicht mal die Bandbreite zum Rausschicken wert, kannst dir ja denken wo sie dann bei entsprechenden osteuropäischen und asiatischen Anbieter landen.

 

[d3p]

Hi d4f,

Danke für deine Antwort!
-SSH habe ich auf einen anderen Port gelegt.
Das mit dem Port-Knocking werde ich mir mal genauer anschauen.

Ansonsten passen die Fail2ban Regeln oder hast du da Verbesserungsvorschläge?

Abuse-Meldungen sind generell selbst bei deutschen DSL-Provider nicht mal die Bandbreite zum Rausschicken wert, kannst dir ja denken wo sie dann bei entsprechenden osteuropäischen und asiatischen Anbieter landen.

Nehmen wir mal die DE-Provider als Beispiel.
Ich will hier jetzt keine rechtliche Diskussion lostreten, aber wie könnte ich theoretisch solche Benutzer rechtlich drankriegen?
Ich gehe hier einfach mal von DDOS-Attacken aus, welche eine Straftat sind. (Siehe § 303b Abs. 1 StGB)

Auf dem Server läuft eine Internetpräsenz die Einnahmen generiert.

 

[d4f]

oder hast du da Verbesserungsvorschläge?

Ich persönlich finde 3 Versuche etwas niedrig. Hin und wieder passiert es dass man durch Vertippen oder andere Störungen schnell 3x falsch eingegeben hat und dann eine manuelle Freigabe vornehmen muss - nicht so schön.
Meistens setze ich 5-10 Versuche, beschmutzt zwar die Logs etwas mehr aber convenience halt...

aber wie könnte ich theoretisch solche Benutzer rechtlich drankriegen?

Achtung: dies ist Laienmeinung und keine Rechtsauskunft!

Computersabotage ist nach StGb 303a und 303b geregelt
http://dejure.org/gesetze/StGB/303a.html
http://dejure.org/gesetze/StGB/303b.html
Allerdings stellt sich die Frage, willst du wirklich Klein-Fritz und Omi verklagen? Beide können sich höchstens Fahrlässigkeit vorwerfen und haben durch Unachtsamkeit / veraltetes System einen Trojaner eingefangen. Du kannst also nach BGB 1004 die Beseitigung der Beeinträchtigung verlangen und unter Umständen auf Unterlassung klagen.
http://www.gesetze-im-internet.de/bgb/__1004.html


Hier sind eher Telekom und Co die "Bösen" denn Abuse-Meldungen werden generell kaum bis gar nicht bearbeitet und wenn ja kommt selbst bei vollständigem Log-Auszug inklusive Source-Ports und allem Drum und Dran die Antwort dass mehr Daten (quasi ein Traffic-Mitschnitt) notwendig sind damit die was tun. Klar, ist ja auch mit dem BDSG leicht vereinbar und überhaupt kein Aufwand...
Dabei könnten die Anbieter recht einfach die Pattern von Spamming und DDoS erkennen sowie Spoofing unterdrücken (tun leider noch immer nicht alle).

 

[d3p]

Okay, Danke dafür!
Habs mal auf 8 erhöht.

Andere Frage.
Kann ich bei fail2ban mehrere Logs angeben?
Bei Plesk werden mir nach einer bestimmten Zeit mehrere Logs generiert, die folgendermaßen benannt werden:

Aktuelles Log: /usr/local/psa/var/log/maillog
bzw. maillog.processed
maillog.processed.1
maillog.processed.2.gz
usw.

Kann Fail2ban mit einem Wilcard (*) umgehen?
Also z.B. logpath = /usr/local/psa/var/log/maillog* ?

 

[d4f]

Ich sehe den Grund nicht, die alten rotierten Logs ebenfalls zu beachten. Die Logik von Fail2ban basiert darauf dass er die aktuellen Ereignisse (Log-Tail) beobachtet und darauf reagiert, warum sollte er die Werte von vor Tagen noch interessant finden?

 

[d3p]

Ich sehe den Grund nicht, die alten rotierten Logs ebenfalls zu beachten. Die Logik von Fail2ban basiert darauf dass er die aktuellen Ereignisse (Log-Tail) beobachtet und darauf reagiert, warum sollte er die Werte von vor Tagen noch interessant finden?

Stimmt, hast Recht.
Denkfehler, sorry!