Fail2Ban Log in Plesk

[Gast[200516]]

Hallo,

Ich verzeichne seit einiger Zeit einen Angriff von einer bestimmten IP:

2015-08-30 23:26:09,723 fail2ban.actions[875]: WARNING [plesk-panel] Ban [IP]
2015-08-30 23:36:10,700 fail2ban.actions[875]: WARNING [plesk-panel] Unban [IP]
2015-08-30 23:36:20,733 fail2ban.actions[875]: WARNING [plesk-panel] Ban [IP]
2015-08-30 23:46:21,213 fail2ban.actions[875]: WARNING [plesk-panel] Unban [IP]
2015-08-30 23:46:31,251 fail2ban.actions[875]: WARNING [plesk-panel] Ban [IP]
2015-08-30 23:56:31,945 fail2ban.actions[875]: WARNING [plesk-panel] Unban [IP]
2015-08-30 23:56:41,985 fail2ban.actions[875]: WARNING [plesk-panel] Ban [IP]
2015-08-31 00:06:42,690 fail2ban.actions[875]: WARNING [plesk-panel] Unban [IP]
2015-08-31 00:06:51,719 fail2ban.actions[875]: WARNING [plesk-panel] Ban [IP]
2015-08-31 00:06:52,701 fail2ban.actions[875]: WARNING [recidive] Ban [IP]
2015-08-31 00:16:52,349 fail2ban.actions[875]: WARNING [plesk-panel] Unban [IP]
2015-09-07 00:06:53,687 fail2ban.actions[875]: WARNING [recidive] Unban [IP]

In Plesk (wo ich Fail2Ban verwalte) ist mir folgendes Aufgefallen. Die [IP] ist länger als 600 Sekunden gesperrt, wobei das nicht mit den o.g. Angriffen zusammenpasst.

Woran könnte das liegen?
Server ist mit PublicKey (SSH) abgesichert. Passwörter sind extrem komplex und generiert.

Auslastungen (CPU, RAM, ...) weisen keine besonderen Sprünge etc. auf (laut Plesk System Monitoring)

Liebe Grüße

 

[GwenDragon]

Erst sind die IPs 10 Minuten gesperrt und dann greift die Regel recidive wegen wiederholtem Auftretens von Angriffen für länger.
Wie lang die bantime bei recidive ist und bei wie vielen Versuchen die greift, weiß ich bei dir nicht.

 

[Gast[200516]]

Das ist ja mal eine gute Nachricht... und ein typisches Beispiel, das man sich nicht (nur) auf die Konfiguration in Plesk verlassen darf (Da steht von längeren Sperren nämlich nix!).

Sollte ich die entsprechende IP irgendwo melden?

Das erste Ergebnis bei Google für diese IP (darf ich die hier eigentlich posten?) ist die Seite "Anti Hacker Alliance" (Infos über die IP) und wenn ich die Blacklist für die IP prüfen lasse (MXToolBox) kommt folgendes:

BARRACUDA -> LISTED
MailBlacklist -> LISTED
Rest -> OK

 

[Deleted member 15972]

Klar kannst Du an den Provider eine Abusemail schreiben, nur bringt das in den allermeisten Fällen gar nichts.
Das ist einfach normales Grundrauschen von Zombies und bei hinreichender Passwortstärke auch nicht wirklich ein Problem.

Server die bei mir schon 1-2 Jahre laufen haben pro Tag Hunderte bis Tausende solcher Versuche, von den unterschiedlichsten IPs.

Im Falle von SSH habe ich das Grundrauschen abgestellt, in dem ich den Port geändert habe (kein eigentliches Sicherheitsmerkmal, da Portscans möglich sind).

 

[GwenDragon]

Ach, da wird jemand irgendein Scan-Tool von AHA auf deinen Server losgelassen haben.

 

[blocklist]

* OT-Werbung *
Du kannst die gesperrten IPs auch automatisch von Fail2Ban an https://www.blocklist.de/de/ melden, dann erhält der zuständige Provider einen automatischen Abuse-Report und kann dann entsprechend reagieren.