Fail2Ban blockt IP-Range 127.0.0.0

[AllOnline]

Hallo,

ich habe ein Problem mit Fail2Ban.
habe folgende Mitteilung erhalten:

Hi,

The IP 127.0.1.50 has just been banned by Fail2Ban after
3 attempts against postfix.


Here are more information about 127.0.1.50:

#
# Query terms are ambiguous. The query is assumed to be:
# "n 127.0.1.50"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=127.0.1.50?showDetails=true&showARIN=false&ext=netref2
#

NetRange: 127.0.0.0 - 127.255.255.255
CIDR: 127.0.0.0/8
OriginAS:
NetName: SPECIAL-IPV4-LOOPBACK-IANA-RESERVED
NetHandle: NET-127-0-0-0-1
Parent:
NetType: IANA Special Use
Comment: This block is assigned for use as the Internet
Comment: host loopback address. Datagrams sent to
Comment: addresses anywhere within this block loops back
Comment: inside the host. Many implementation only
Comment: support this for 127.0.0.1. This block was
Comment: assigned by the IETF in the Standard document,
Comment: RFC 1122 and is further documented in the Best
Comment: Current Practice document RFC 5735. These
Comment: documents can be found at:
Comment: http://www.rfc-editor.org/rfc/rfc1122.txt
Comment: http://www.rfc-editor.org/rfc/rfc5735.txt
RegDate:
Updated: 2010-04-14
Ref: http://whois.arin.net/rest/net/NET-127-0-0-0-1

OrgName: Internet Assigned Numbers Authority
OrgId: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US
RegDate:
Updated: 2004-02-24
Ref: http://whois.arin.net/rest/org/IANA

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org
OrgTechRef: http://whois.arin.net/rest/poc/IANA-IP-ARIN

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org
OrgAbuseRef: http://whois.arin.net/rest/poc/IANA-IP-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#


Lines containing IP:127.0.1.50 in /var/log/mail.log

Feb 9 10:32:37 c061 postfix/smtpd[28646]: connect from unknown[127.0.1.50]
Feb 9 10:32:37 c061 postfix/smtpd[28646]: NOQUEUE: reject: RCPT from unknown[127.0.1.50]: 554 5.7.1 <amanda@pdcfornurses.com>: Relay access denied; from=<jonesb@pbso.org> to=<amanda@pdcfornurses.com> proto=SMTP helo=<localhost>
Feb 9 10:32:37 c061 postfix/smtpd[28646]: lost connection after RCPT from unknown[127.0.1.50]
Feb 9 10:32:37 c061 postfix/smtpd[28646]: disconnect from unknown[127.0.1.50]
Feb 9 10:34:31 c061 postfix/smtpd[28636]: connect from unknown[127.0.1.50]
Feb 9 10:34:31 c061 postfix/smtpd[28636]: NOQUEUE: reject: RCPT from unknown[127.0.1.50]: 554 5.7.1 <elkimek@ultradots.com>: Relay access denied; from=<ablrecruiting@acuitybrands.com> to=<elkimek@ultradots.com> proto=SMTP helo=<localhost>
Feb 9 10:34:31 c061 postfix/smtpd[28636]: lost connection after RCPT from unknown[127.0.1.50]
Feb 9 10:34:31 c061 postfix/smtpd[28636]: disconnect from unknown[127.0.1.50]
Feb 9 10:39:38 c061 postfix/smtpd[28636]: connect from unknown[127.0.1.50]
Feb 9 10:39:38 c061 postfix/smtpd[28636]: NOQUEUE: reject: RCPT from unknown[127.0.1.50]: 554 5.7.1 <allinafac@shahnaur.com>: Relay access denied; from=<sur80@worcestericecats.com> to=<allinafac@shahnaur.com> proto=SMTP helo=<localhost>
Feb 9 10:39:38 c061 postfix/smtpd[28636]: lost connection after RCPT from unknown[127.0.1.50]
Feb 9 10:39:38 c061 postfix/smtpd[28636]: disconnect from unknown[127.0.1.50]


Regards,

Wie kann 127 geblokct werden, warum war das überhaupt notwending und was mach ich am besten dagegen?


Dank euch!

 

[Joe User]

Weshalb da geblockt wurde, solltest Du als root doch am Besten wissen, schliesslich hast Du das so konfiguriert.
Unabhängig davon sieht das nach einem eingenisteten Spam-Server aus, bist Du noch allein root auf der Kiste?

 

[danton]

Erst einmal ist das Verhalten von fail2ban soweit korrekt, wenn du eine Regel erstellt hast, die Port 25 für IPs sperrt, die unerlaubt versuchen, über deinen Server zu relayen. Dabei werden auch normalerweise keine IP-Ranges ausgenommen. Also kann ich erst mal kein Problem von fail2ban erkennen.
Aber du dürftest ein ganz anderes Problem haben, nämlich, daß auf deinem Server wohl eine Spamschleuder sitzt, die versucht, über diesen Mails zu versenden. Du solltest also ganz dringend ermitteln, wo diese sitzt, den Übeltäter entfernen und die Lücke suchen und schließen, über die der Übeltäter reingekommen ist.

 

[AllOnline]

Das Fail2Ban korrekt arbeitet war mir bewusst, und warum er dann blockt war mir auch klar.
Zweiters macht mir eher sorgen:

Aber du dürftest ein ganz anderes Problem haben, nämlich, daß auf deinem Server wohl eine Spamschleuder sitzt, die versucht, über diesen Mails zu versenden. Du solltest also ganz dringend ermitteln, wo diese sitzt, den Übeltäter entfernen und die Lücke suchen und schließen, über die der Übeltäter reingekommen ist.

Wo am besten anfangen zu suchen?
Macht es Sinn, dies zu deaktivieren, damit andere Mail wenigstens gesendet werden können?

habe erstmal von einem Kunden öfters ein defocus.pl in den Prozessen gefunden.
Datei ansich zwar nicht gefunden trotz locate aber ganzen Benutzer gelöscht!
War ein Drupal System welches nicht mehr benötigt wird.

Leider lässt sich der Prozess trotz root und allem nicht killen :-(
Need help! -> Hab es nun unsabuer geschloßen: signal 9 (SIGKILL)

 

[blocklist]

In der /etc/fail2ban/jail.conf kannst du mit:

ignoreip = 127.0.0.1 188.93.15.0/24 ... [ipv6]

die Sperrung eigener IP-Adressen verhindern.

 

[AllOnline]

Danke für die Mitteilung
127.0.0.1 ist eingetragen aber nicht das ganze Netz.

Zudem hätte ich ja dann die Meldung nicht bekommen...

 

[d4f]

Datei ansich zwar nicht gefunden trotz locate aber ganzen Benutzer gelöscht!

Meist werden die Dateien geloescht oder umbenannt damit man sie nicht auf der Festplatte finden kann. In aller Regel findest du sie im /tmp/ oder einem entsprechenden Ordner des Benutzers.

Hab es nun unsabuer geschloßen: signal 9 (SIGKILL)

Auch das ist typisch fuer boeswillige Software; SIGTERM kann vom Prozess aufgefangen und ignoriert werden, SIGKILL entzieht ihm auf Kernelebene PID, Rechenzeit, RAM und alle Ressourcen => er stirbt.

Meist reicht es schon ab einer gewissen Anzahl von Emails / Kunde / Stunde den Serveradmin automatisiert zu benachrichtigen und bei Ueberschreiten eines weiteren Limits die Email-Zustellung zu blockieren. (Alternativ in near-realtime mit einem Skript analysieren wieviele Emails nicht zugestellt werden konnten und bei Ueberschreitung eines Wertes blockieren) um die meisten missbrauchten Accounts zu blockieren.

Ich empfehle zumindest die Verwendung der GotRoot mod_security delayed Regeln (kostenfrei) um die meisten Angriffe zu blockieren.

 

[AllOnline]

Vielen Dank für die ausführliche Hilfe!

Gibt es da eine Alternative von mod-security die nicht mit SVN kolidiert?
Kannst du mir entsprechende Script zukommen lassen?

Danke sehr!

 

[d4f]

Gibt es da eine Alternative von mod-security die nicht mit SVN kolidiert?

Meines Wissens kollidigeren die GotRoot-Regeln nicht mit SVN, nur die Standard-Regeln der mod_security Autoren tun dies. (Diese sind aber auch insgesamt nur mit sehr viel Handarbeit einsetzbar weswegen ich die Atomicorp GotRoot empfohlen habe)

Kannst du mir entsprechende Script zukommen lassen?

Leider nein. Meine Skripte sind alle exakt auf meine Beduerfnisse zugeschnitten, sie wuerden as-is bei dir schlichtwegs nicht (korrekt) laufen.

Du kannst aber mit sendmailwrapper direkte Aufrufe der sendmail-Binary drosseln und mit folgender Iptables-Regel alle ausgehenden Verbindungen loggen:

iptables -A OUTPUT -p tcp --dport 25 -j LOG --log-uid --log-prefix "sendmailout: "

Das musst du dann mit /etc/rsyslog.conf umleiten (wir wollen die syslog ja nicht verhunzen):

:msg, contains, "sendmailout: "  @127.0.0.1:PORT
& ~

Auf PORT muss dann natuerlich ein Skript lauschen welcher die UID kontrolliert (wir wollen ja keine System-Prozesse blockieren) und iptables DROP-Regeln bei Ueberschreitung einsetzt sowie die Datenbank des erwaehnten sendmailwrapper mit Daten fuettert.

 

[AllOnline]

Danke,
werde gleich erstmal http://www.atomicorp.com/wiki/index.php/Atomic_ModSecurity_Rules folgen.

Den Rest muss ich leider später machen,
da ich mit Scripts leider nicht so weit bin :-/

 

[d4f]

Hier ist ein Update/Installationsskript fuer GotRoot Delayed:

#!/bin/bash
echo "Updating..."
/usr/bin/wget -O /tmp/modsec.tar.bz2 http://updates.atomicorp.com/channels/rules/delayed/modsec-2.5-free-latest.tar.bz2
/bin/tar -C /etc/apache2/ -xjvf /tmp/modsec.tar.bz2
/bin/rm -f /tmp/modsec.tar.bz2
echo "Patching status code 502..."
for i in `/bin/ls /etc/apache2/modsec/`; do /bin/sed -i 's/status:403/status:502/g' /etc/apache2/modsec/$i; done
echo "Reloading apache..."
/usr/sbin/apache2ctl graceful
echo "Done!"

Und so sieht meine modsecurity-Config aus:

LoadFile /usr/lib/libxml2.so.2
LoadModule security2_module /usr/lib/apache2/modules/mod_security2.so

SecPcreMatchLimit 150000
SecPcreMatchLimitRecursion 150000

Include /etc/apache2/modsec/10_asl_antimalware.conf
Include /etc/apache2/modsec/10_asl_rules.conf
Include /etc/apache2/modsec/20_asl_useragents.conf
Include /etc/apache2/modsec/30_asl_antispam.conf
Include /etc/apache2/modsec/50_asl_rootkits.conf
Include /etc/apache2/modsec/60_asl_recons.conf
Include /etc/apache2/modsec/99_asl_jitp.conf

Include /etc/apache2/modsec/00_asl_rbl.conf
Include /etc/apache2/modsec/00_asl_zz_strict.conf
Include /etc/apache2/modsec/11_asl_data_loss.conf
Include /etc/apache2/modsec/31_asl_urispam.conf


SecRuleEngine On
SecAuditEngine Off
SecDataDir /var/log/apache2/secdata

SecDebugLog /var/log/apache2/modsec.log
SecDebugLogLevel 3

in /etc/apache2/modsec/00_asl_rbl.conf solltest du bei Bedarf folgende DNSBL's setzen um (einige) offene Proxies, Botnetze und anderen "Dreck" zu blockieren:

SecRule REMOTE_ADDR "@rbl dnsbl.tornevall.org." \
"phase:1,t:none,deny, log, id:350000,rev:2,msg:'Global RBL Match: IP is on the dnsbl.tornevall.org Blacklist (Report False Positives to dnsbl.tornevall.org)',severity:'3'"

#problems.dnsbl deaktiviert durch vermutlich false-positives
SecRule REMOTE_ADDR "@rbl relays.dnsbl.sorbs.net." \
"phase:1,t:none,deny, log, id:350000,rev:2,msg:'Global RBL Match: IP is on the dnsbl.sorbs.net Blacklist (Report False Positives to www.sorbs.net)',severity:'3'"

SecRule REMOTE_ADDR "@rbl rbl.efnetrbl.org." \
"phase:1,t:none,deny, log, id:350000,rev:2,msg:'Global RBL Match: IP is on the rbl.efnetrbl.org Blacklist (Report False Positives to www.efnetrbl.org)',severity:'3'"

Hinweis: Damit bei einem Update ASL nicht die DNSBL-Regeln ueberschreibt solltest du sie mit "chattr +i 00_asl_rbl.conf" read-only setzen. Ein lokaler Resolver-Cache ist hier auch wichtig =)

 

[AllOnline]

Danke sehr!
Bekomme leider Fehler:

apache2: Syntax error on line 231 of /etc/apache2/apache2.conf: Syntax error on 
line 2 of /etc/apache2/conf.d/00_modsecurity.conf: Cannot load /usr/lib/apache2/
modules/mod_security2.so into server: /usr/lib/apache2/modules/mod_security2.so:
cannot open shared object file: No such file or directory
Action 'configtest' failed.
The Apache error log may have more information.
 failed!

Dannach habe ich folgendes ausgeführt:

apt-get install libapache-mod-security

Nun erhalte ich folgenden Fehler:

/etc/init.d/apache2 restart
[Fri Feb 10 14:52:18 2012] [warn] module security2_module is already loaded, skipping
Syntax error on line 34 of /etc/apache2/modsec/00_asl_rbl.conf:
Error creating rule: Could not open phrase file "/etc/asl/whitelist": No such file or directory
Action 'configtest' failed.
The Apache error log may have more information.

Bitte um hilfe
Wie prüfe ich ob modsec richtig läuft?
Kannst du mir das Script, mit dem Mail abfangen, noch mal genauer erklären?

 

[AllOnline]

Jemand eine Idee dazu, bzw passendes HowTo?

 

[d4f]

Die Fehlermeldung ist doch eindeutig?

Error creating rule: Could not open phrase file "/etc/asl/whitelist": No such file or directory

mkdir /etc/asl/
touch /etc/asl/whitelist
chown -R www-data:wwww-data /etc/asl

 

[AllOnline]

Ich hatte gedacht, das dort noch mehr hinter lauert also nur eine Datei/Ordner und wild ausprobieren sollte man ja nicht gerade ;-)

Danke dir!

 

[AllOnline]

Irgend wie kommen nur noch 50% der Leute auf meine Webseiten, seitdem der mod aktiv ist.
Gerade ausländische Anschlüsse, auch deutsche groß Unternehmen, bekommen ein:

Bad Gateway

The proxy server received an invalid response from an upstream server.

 

[d4f]

mod_security kontrolliert standardmaessig nicht die IP-Adresse, auch wenn er sich an DNSBL's anschliessen laesst; der Grund liegt also weniger am WER der Client ist, sondern eher WAS er macht.

Interessant ist die Proxy-Meldung; haengt da ein Proxy dazwischen oder meldet Apache selbst dies?

 

[AllOnline]

Die Meldung kommt direkt vom WebServer.
Was genau die Fehlermeldung auf utnerschiedlichen Domains und Websapce mit unterschiedlichen Scripten ausfüht weiß ich noch nicht.

 

[d4f]

Ich weiss nicht wie deren Fehlermeldung aussieht, aber koennte die Meldung von einem Dienst wie Cloudfront kommen den du eventuell zwischengeschaltet hast?

Der Webserver welcher die Meldung ausgibt versucht naemlich definitiv sich mit einem anderen Webserver in Verbindung zu setzen um Proxy zu spielen!

 

[AllOnline]

Also es handelt sich ums nomale Confixx.
Das interessante ist ja auch, das ich von anderen Anschlüssen (z.B. bei mir zuhause) ohne Probleme auf die Webseiten zugreifen kann.