Connect-Versuche aus China treiben CPU-Last hoch

H

haegar

New Member
Hallo zusammen,

ich habe fast jede Nacht über einen Zeitraum von 2-3 Stunden massive Loginversuche mit chinesischen oder indische IP-Adressen. Der Server weist diese zwar meines Erachtens alle brav ab, ich möchte mich aber gerne vergewissern, dass die Meldungen die ich im Log ehe das bestätigen.

Im Log stehen dann in dem Zeitraum immer wieder solche Blöcke:
Jan 26 02:34:26 h1466911 postfix/smtpd[1813]: warning: hostname bzq-219-110-5.static.bezeqint.net does not resolve to address 62.219.110.5: Name or service not known
Jan 26 02:34:26 h1466911 postfix/smtpd[1813]: connect from unknown[62.219.110.5]
Jan 26 02:34:29 h1466911 postfix/smtpd[1813]: disconnect from unknown[62.219.110.5]
Jan 26 02:34:30 h1466911 postfix/smtpd[1813]: warning: hostname bzq-219-110-5.static.bezeqint.net does not resolve to address 62.219.110.5: Name or service not known
Jan 26 02:34:30 h1466911 postfix/smtpd[1813]: connect from unknown[62.219.110.5]
Jan 26 02:34:30 h1466911 postfix/smtpd[1818]: warning: hostname bzq-219-110-5.static.bezeqint.net does not resolve to address 62.219.110.5: Name or service not known
Jan 26 02:34:30 h1466911 postfix/smtpd[1818]: connect from unknown[62.219.110.5]
Jan 26 02:34:31 h1466911 postfix/smtpd[1820]: warning: hostname bzq-219-110-5.static.bezeqint.net does not resolve to address 62.219.110.5: Name or service not known
Jan 26 02:34:31 h1466911 postfix/smtpd[1820]: connect from unknown[62.219.110.5]
Jan 26 02:34:32 h1466911 postfix/smtpd[1821]: warning: hostname bzq-219-110-5.static.bezeqint.net does not resolve to address 62.219.110.5: Name or service not known
Jan 26 02:34:32 h1466911 postfix/smtpd[1821]: connect from unknown[62.219.110.5]
Jan 26 02:34:32 h1466911 postfix/smtpd[1822]: warning: hostname bzq-219-110-5.static.bezeqint.net does not resolve to address 62.219.110.5: Name or service not known
Jan 26 02:34:32 h1466911 postfix/smtpd[1822]: connect from unknown[62.219.110.5]
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: listen=6, status=5, dbpath='/plesk/passwd.db', keypath='/plesk/passwd_db_key', chroot=1, unprivileged=1
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: privileges set to (107:110) (effective 107:110)
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: main cycle started
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: main cycle iteration
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: activity on 1 channel(s)
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: new client (fd=10) registered
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: main cycle iteration
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: activity on 1 channel(s)
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: some read activity on client 10
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: read(10, &buf, 2)=2
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: processing client data chunk [state=0]
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: read(10, &buf, 5)=5
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: processing client data chunk [state=1]
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: read(10, &buf, 2)=2
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: processing client data chunk [state=2]
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: read(10, &buf, 5)=5
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: processing client data chunk [state=3]
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: read(10, &buf, 2)=2
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: processing client data chunk [state=4]
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: read(10, &buf, 4)=4
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: processing client data chunk [state=5]
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: read(10, &buf, 2)=2
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: processing client data chunk [state=6]
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: processing client data chunk [state=7]
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: Invalid mail address 'admin@'
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: main cycle iteration
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: activity on 1 channel(s)
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: some write activity on client 10
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: attempt to write(10, &buf, 4)
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: client 10 processed
Jan 26 02:34:34 h1466911 plesk_saslauthd[1823]: main cycle iteration
Jan 26 02:34:34 h1466911 postfix/smtpd[1813]: warning: unknown[62.219.110.5]: SASL LOGIN authentication failed: authentication failure
Click to expand...

Verstehe ich das richtig, dass hier der Server den Loginversuch abgewiesen hat? Muss ich da etwas tun um zukünftig noch sicherer gegen potentielle Spam-Versender zu sein?

Außerdem eine Frage: kann ich etwas tun, um soclhe Connect-Versuche effektiver (weniger Prozessorlast) zu behandeln? Laut der über Plesk abrufbaren Statistik geht die Prozessorlast in diesem Zeitraum über 90% hoch.

Danke,
Siegbert
 
haegar said:
Verstehe ich das richtig, dass hier der Server den Loginversuch abgewiesen hat?
Click to expand...
Ja, das "Authentication Failure" ganz am Ende sagt dass der Login fehlgeschlagen ist.

haegar said:
Muss ich da etwas tun um zukünftig noch sicherer gegen potentielle Spam-Versender zu sein?
Click to expand...
Sichere Passwörter verwenden, also nicht Benutzername gleich Passwort. Wenn dann Accounts geknackt werden hauptsächlich dann wenn die Systeme deiner Benutzer infiziert sind.

haegar said:
Außerdem eine Frage: kann ich etwas tun, um soclhe Connect-Versuche effektiver (weniger Prozessorlast) zu behandeln? Laut der über Plesk abrufbaren Statistik geht die Prozessorlast in diesem Zeitraum über 90% hoch.
Click to expand...
Es gäbe die Möglichkeit IP-Adressen nach einer gewissen Anzahl fehlgeschlagener Logins per Fail2Ban zu sperren.
Damit werden die IP-Adressen dann in die Firewall eingetragen die schon alleine den Verbindungsversuch verhindert.
Wie sich das mit Plesk zusammen verhält (das hat ja auch ein Firewall-Modul) kann ich aber nicht sagen.
 
1. Linuxs iptables verwenden
2. fail2ban verwenden und smtp nach 5 Fehlversuchen blockieren (schöne Filter sind courierauth, pam-generic, postfix, sasl).
 
Darf ich mal fragen, was für Hardware in deinem Server konkret verbaut ist? Oder ist das ein vServer? Ich kann mir nämlich nicht vorstellen, dass auf halbwegs vernünftiger Hardware diese Loginversuche eine derart hohe CPU-Last verursachen. Das ist lediglich das normale Grundrauschen, das man i.d.R. einfach ignoriert.
 
tomasini:
Darf ich mal fragen, was für Hardware in deinem Server konkret verbaut ist? Oder ist das ein vServer?
Click to expand...
es ist ein vServer.

alle:
Erst mal Danke für alle Antworten, werde das nach und nach bearbeiten.
 
haegar said:
Jan 26 02:34:26 h1466911 postfix/smtpd[1813]: warning: hostname bzq-219-110-5.static.bezeqint.net does not resolve to address 62.219.110.5: Name or service not known
Click to expand...
Möglicherweise dauert einfach das Auflösen des PTR über den chinesischen DNS lange.
Namensauflösung ist normalerweise ein blockierender Systemcall, was die hohe Systemlast erklären kann.
 
Lord Gurke said:
Wie sich das mit Plesk zusammen verhält (das hat ja auch ein Firewall-Modul) kann ich aber nicht sagen.
Click to expand...

Die Plesk Firewall basiert auf iptables und richtet einfach nur entsprechende Regeln ein. Habe ich auch mit fail2ban am Laufen und blockt alles brav ab. Probleme gibts keine
 
You must log in or register to reply here.
Back
Top