Firewall meldet verdächtige Prozesse nach Auth-Failure

5

5ky

New Member
Hallo,

seit heute morgen erhalte ich auf einen meiner Server Emails, welche ich aktuell nach wie vor nicht richtig einzuschätzen weiß.
Was sagt ihr dazu?

Ich betreibe ein aktuelles Debian 7 mit ISPConfig3. Fürs mailen ist Postfix und Dovecot zuständig.

Als erstes erhalte ich von OSSEC eine Nachricht, dass SASL Authentifizierungen fehlschlugen:
HTML: 
Jun  6 13:11:17 MEINHOST postfix/smtpd[32212]: warning: p578b5468.dip0.t-ipconnect.de[87.139.84.104]: SASL CRAM-MD5 authentication failed: Invalid authentication mechanism
Diese Meldungen kommen ein paar mal bis dann meine Firewall CSF meldet:
HTML: 
lfd on MEINSERVER: Suspicious process running under user postfix

Time:    Fri Jun  6 13:05:33 2014 +0200
PID:     31338 (Parent PID:4211)
Account: postfix
Uptime:  80 seconds


Executable:

/usr/lib/postfix/error


Command Line (often faked in exploits):

error -n retry -t unix -u -c


Network connections by the process (if any):

tcp: 127.0.0.1:47708 -> 127.0.0.1:3306


Files open by the process (if any):

/dev/null
/dev/null
/dev/null
/var/spool/postfix/pid/unix.retry
anon_inode:[eventpoll]
Die Firewall habe ich inzwischen so eingestellt, dass nach 6 fehlgeschlagenen Versuchen die IP gesperrt wird. Das klappt.
Der, ich nenne ihn mal Angreifer, wechselt diese und kam bisher auch wieder mit anderen Adressen.

Solange ja kein Thema, aber wie soll ich den "verdächtigen Prozess" einschätzen? Was sagt mir die Zeilte TCP: 127.0.0.1:47708 -> 127.0.0.1:3306? Wird hier ein Port geöffnet?

LG
 
Poste mal bitte deine csf.conf hier.

Unter Debian:
Code: 
/etc/csf/csf.conf

Wenn du die Bruteforce Erkennung von CSF/LDF Nutzt sollten die "Angriffe" doch kein Problem sein ich nutze dafür Fail2ban bei mir werden 20-50 IP's /Tag Ausgesperrt nur durch falsch Logins am SASL und SSH ist eigentlich kein ernst zu nehmendes Problem Grundrauschen halt.

Habe auch CSF in Verbindung mit ISPConfig3 unter Debian im Einsatz habe aber die Erfahrung gemacht das LDF sehr unperfomant ist im vergleich zu F2B.
 
Last edited by a moderator:
Hi,

ich soll hier wirklich 2010 Zeilen der csf.conf posten???
Die Bruteforce Angriffe werden ja inzwischen auch bereits nach 6 Versuchen erfolgreich gesperrt. Hierzu habe ich die regex.custom erweitert:

Code: 
if (($lgfile eq $config{CUSTOM1_LOG}) and ($line =~ /^\S+\s+\d+\s+\S+ \S+ postfix\/smtpd\[\d+\]: warning:.*\[(\d+\.\d+\.\d+\.\d+)\]: SASL [A-Z-5]*? authentication failed/)) {
    return ("Failed SASL login from",$1,"mysaslmatch","6","25,465","1");
}

Was mich aber stutzig macht, warum plötzlich daraufhin die Meldung "Suspicious process running under user postfix" kommt? (siehe erster Beitrag)

Bin mir nicht sicher ob ich den einfach in die csf.pignore einfügen soll? Oder ob es doch was ernst zu nehmendes ist.

Das ist erst seit heute. Genauso die Angriffe auf "SASL CRAM-MD5" die habe ich auch erst seit heute und musste wegen CRAM-MD5 den Regex anpassen.

Finde auch LFD (heißt LFD, nicht LDF ;-)) nicht wirklich sehr prickelnd, vor allem was eigene Anpassungen angeht, ist mir Fail2Ban deutlich lieber. Aus diesem Grund habe ich auch zusätzlich gewisse Scans über Fail2Ban laufen, welche F2B dann an LFD übergibt.
Das klappts soweit alles prima.

LG
 
5ky said:
Solange ja kein Thema, aber wie soll ich den "verdächtigen Prozess" einschätzen? Was sagt mir die Zeilte TCP: 127.0.0.1:47708 -> 127.0.0.1:3306? Wird hier ein Port geöffnet?
Click to expand...

error ist Bestandteil von Postfix (siehe auch Man-Page).
Die Verbindung zu Port 3306 ist zu deinem MySQL-Server. ISPConfig wird die Zugangsdaten in einer MySQL-Datenbank ablegen und auf die muß Postfix natürlich zugreifen.
 
Also kann ich die Meldungen beruhigt auf die Ignore Liste setzen?

Was mich eben stutzig macht, warum kommt das jetzt plötzlich? Das System läuft seit über einem halben Jahr und von heute auf Morgen diese Meldungen?

Mir ist auch kein Postfix Update bekannt, das hätte ich mir noch als Ursache eingehen lassen.
 
Klemm dich doch mal mit strace an die PID und schau, was das Ding macht. Denke aber auch nicht, dass da unbedingt Gefahr von ausgeht.
 
Hm,

sobald ich die Meldung per Mail erhalte, und auf die angegebene PID Nummer einen "strace -p NUMMER" lege, erscheint, dass es diesen Prozess nicht gibt.

Ein Blick in die syslog bringt folgendes zu dieser Uhrzeit:
Code: 
Jun  8 14:05:58 MEINHOST postfix/pickup[14993]: 272CE100C23: uid=0 from=<root>
Jun  8 14:05:58 MEINHOST postfix/cleanup[16737]: 272CE100C23: message-id=<20140608120558.272CE100C23@MEINESUBDOMAIN.MEINEDOMAIN.MEINETLD>
Jun  8 14:05:58 MEINHOST postfix/qmgr[4389]: 272CE100C23: from=<root@MEINESUBDOMAIN.MEINEDOMAIN.MEINETLD>, size=12774, nrcpt=1 (queue active)
Jun  8 14:05:58 MEINHOST named[2784]: socket.c:5274: unexpected error:

Diesen unexpected error bemängelt ja auch das Protokoll vom CSF.
 
Falls Du es mal schaffst den Error-Prozess zu tracen, obwohl Du erst eine Warnung per Email erhältst und dann manuell den Trace starten musst, dann wäre dies wirklich sehr verdächtig.
So lange Du den Prozess nicht erwischst, ist das nur ein Zeichen dafür, dass der Postfix-Error sein Ding wie üblich schnell durchgezogen hat.

Lange Rede kurzer Sinn: Setzte den Error-Prozess auf die Ignore-Liste.

huschi.
 
You must log in or register to reply here.
Back
Top