Kategorie - "Grundrauschen"?

  • Thread starter Thread starter Deleted member 14254
  • Start date Start date
D

Deleted member 14254

Guest
Hallo Zusammen,

Wollte fragen, ob dies: (aus meinem heutigen mail.log)

Code: 
cat /var/log/mail.log
Sep 20 12:29:34 server dovecot: pop3-login: Aborted login (no auth attempts): rip=109.67.193.74, lip=meine-Server-IP
Sep 20 12:29:36 server dovecot: pop3-login: Aborted login (no auth attempts): rip=109.67.193.74, lip=meine-Server-IP, TLS
Sep 20 12:44:44 server postfix/smtpd[15153]: warning: hostname win3k.7.surfergirl2113.com does not resolve to address 5.34.240.7: Name or service not known
Sep 20 12:44:44 server postfix/smtpd[15153]: connect from unknown[5.34.240.7]
Sep 20 12:44:48 server postfix/smtpd[15153]: disconnect from unknown[5.34.240.7]
Sep 20 12:44:48 server postfix/smtpd[15153]: warning: hostname win3k.7.surfergirl2113.com does not resolve to address 5.34.240.7: Name or service not known
Sep 20 12:44:48 server postfix/smtpd[15153]: connect from unknown[5.34.240.7]
Sep 20 12:44:51 server postfix/smtpd[15157]: warning: hostname win3k.7.surfergirl2113.com does not resolve to address 5.34.240.7: Name or service not known
Sep 20 12:44:51 server postfix/smtpd[15157]: connect from unknown[5.34.240.7]
Sep 20 12:44:52 server postfix/smtpd[15158]: warning: hostname win3k.7.surfergirl2113.com does not resolve to address 5.34.240.7: Name or service not known
Sep 20 12:44:52 server postfix/smtpd[15158]: connect from unknown[5.34.240.7]
Sep 20 12:44:52 server postfix/smtpd[15159]: warning: hostname win3k.7.surfergirl2113.com does not resolve to address 5.34.240.7: Name or service not known
Sep 20 12:44:52 server postfix/smtpd[15159]: connect from unknown[5.34.240.7]
Sep 20 12:44:53 server postfix/smtpd[15160]: warning: hostname win3k.7.surfergirl2113.com does not resolve to address 5.34.240.7: Name or service not known
Sep 20 12:44:53 server postfix/smtpd[15160]: connect from unknown[5.34.240.7]
Sep 20 12:44:53 server postfix/smtpd[15153]: lost connection after AUTH from unknown[5.34.240.7]
Sep 20 12:44:53 server postfix/smtpd[15153]: disconnect from unknown[5.34.240.7]
Sep 20 12:44:54 server postfix/smtpd[15160]: lost connection after CONNECT from unknown[5.34.240.7]
Sep 20 12:44:54 server postfix/smtpd[15160]: disconnect from unknown[5.34.240.7]
Sep 20 12:44:55 server postfix/smtpd[15157]: lost connection after EHLO from unknown[5.34.240.7]
Sep 20 12:44:55 server postfix/smtpd[15157]: disconnect from unknown[5.34.240.7]
Sep 20 12:44:56 server postfix/smtpd[15158]: lost connection after EHLO from unknown[5.34.240.7]
Sep 20 12:44:56 server postfix/smtpd[15158]: disconnect from unknown[5.34.240.7]
Sep 20 12:44:56 server postfix/smtpd[15159]: lost connection after EHLO from unknown[5.34.240.7]
Sep 20 12:44:56 server postfix/smtpd[15159]: disconnect from unknown[5.34.240.7]
Sep 20 12:48:16 server postfix/anvil[15156]: statistics: max connection rate 6/60s for (smtp:5.34.240.7) at Sep 20 12:44:53
Sep 20 12:48:16 server postfix/anvil[15156]: statistics: max connection count 5 for (smtp:5.34.240.7) at Sep 20 12:44:53
Sep 20 12:48:16 server postfix/anvil[15156]: statistics: max cache size 1 at Sep 20 12:44:44

...auch zum sog. "Grundrauschen" gehört?

Sorry, bin noch ein wenig "schissig" wenn ich sowas sehe...
 
Danke Dir Firewire2002, dann bin ich beruhigt. Ohne Auth (habs eben nochmal überprüft) ist der Server nicht nutzbar.
 
Danke Whistler und Sven_R für Eure Zusatzinfos :)

Was mich nur wunderte, warum das ausgerechnet im mail.log auftauchte. Ich dachte zuerst daran, das jemand daran versucht, meinen mailserver als OpenRelay zu missbrauchen, wobei ich aber ebenfalls keinen (von Whistler erwähnten) Auth-Versuch entdecken konnte. Daher kam es mir auch so "spanisch" vor.

F2B habe ich bei mir aktiv:

SSH/SSH-DDoS-Filter/Actions
Postfix-Filter/Actions
Apache-BadBots-Filter/Actions
SASL-Filter/Actions

alles über IPTables. Manche der vordefinierten Regelwerke waren für DenyHosts vorbereitet, doch habe sie auf IPTables umgestrickt, weil ich die "Abwehr auf kernelebene" persönlich effektiver finde. Aber da lasse ich mich gerne eines besseren belehren, sollte ich da einem kategorischen Irrtum unterliegen.
Postfix ist noch mit Hardened-Flag gebaut. Also sollte schon ganz robust sein, das Ganze.

@Sven_R, welche Filter könnte ich gegen solche Scans dort einbauen? Wie würde sich ein solcher Filter/Actions nennen?

Leicht OT:
Mal gespannt, was der neue Hardened-Kernel (gentoo-hardened-sources) für Erneuerungen bereithält, der ist vorhin wohl veröffentlicht worden... Heisst also nachher wieder Kernelbasteln :o

Was ich noch demnächst einbauen wollte, wäre ein Filter und Action für meine per .htaccess geschützten Download-vhosts. Könnte mir das über einen Scan per F2B für das "access_log" vorstellen. Und für die .htaccess für das Admin-Panel vom CMS. Das liegt derzeit im Admin-Ordner und erlaubt nur 1 IP dorthin. Nur Scripten muss man ja nicht unbedingt erlauben, dennoch rumzu-bruteforcen... (phpMyAdmin/Postfixadmin haben bei mir auch solche .htaccess-Files um den Zugang zum Panel nur von 1 IP zu erlauben).
 
Last edited by a moderator:
Für Fail2Ban gibt es genügend Filterregeln in der Konfiguration die nur Aktivieren muss
oder Anpassen muss. Ansonsten gibt es für fast jeden Fall Regeln im Netz.
Einfach mal Tante Google befragen.

Sven
 
Hallo nochmal :)

Hab mich gestern den halben Tag mit F2B und noch möglichen Regeln befasst und mal einige Links gefunden:

http://wiki2.dovecot.org/HowTo/Fail2Ban

http://www.digital-friends.net/hackerangriffe-auf-die-eigene-webseite-blockieren/

http://nerdchannel.de/2010-04-02/fail2ban_eigene_filter_erstellen_apache-404.html

http://wiki.laub-home.de/index.php/Mehr_Sicherheit_durch_fail2ban

Denke mal, damit lässt sich was anfangen... Hatte gestern nämlich mal wieder soeinen Vulnerability-Scan auf 404-Basis laufen... Haben bei mir phpmyadmin-Ordner gesucht... Nur die heissen bei mir nicht so ;)

Naja egal, will mal nicht zuu breit schmunzeln...

Eher würde ich noch sehr gerne fragen, weil ich in diesen F2B-Vorbereitungen nirgends die "actions" - also was passiert, wenn eine $filter.conf greift, sehe. Also ich habs grade nicht vor mir, aber irgendwie vermisse ich in der jail.local der auf den Seiten aufgeführten Beispiele die "Angabe, welche action" greifen soll... Oder hab ich nur Tomaten auf den Augen? :o :o

Die LogPaths sind bei mir teilweise anders, aber das anzupassen schaff ich schon. Nur wie beschrieben, mach ich mir Sorgen, weil ich denke, da "fehlt" was...

Wär nett, wenn mal jemand drüberschaut. Für Ergänzungen wär ich auch dankbar. Vielleicht hat ja einer von Euch noch was passenderes für mich ;) :o
 
Gleich das erste Howto:
Code: 
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,imap", protocol=tcp]
greift offensichtlich auf fail2ban/config/action.d/iptables-multiport.conf mit
Code: 
# Option:  actionstart
# Notes.:  command executed once at the start of Fail2Ban.
# Values:  CMD
#
actionstart = iptables -N fail2ban-<name>
              iptables -A fail2ban-<name> -j RETURN
              iptables -I INPUT -p <protocol> -m multiport --dports <port> -j fa
...
# Option:  actionban
# Notes.:  command executed when banning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    <ip>  IP address
#          <failures>  number of failures
#          <time>  unix timestamp of the ban time
# Values:  CMD
#
actionban = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
 
Moin Whistler,

Danke Dir, habs auch grad gesehen. Nur das ist leider nur bei der dovecot.conf so. Auf den anderen Seiten geht es nur um die Filter. Die sind ja aber nur für die Erkennung da. Kann mir irgendwie nicht gut vorstellen, das da im "Falle des Falles" aus der action.d das passende Actionfile ausgesucht wird ;)

Edit:

Hab jetzt ausser der ssh/ssh-ddos - Jails, die ich schon vor Monaten konstruiert hatte, Für Postfix-/Dovecot- und sämtliche Apache-Ereignisse hinzugefügt.
Das "Ganze" sieht nun wie folgt aus:

Code: 
[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#          sendmail-whois[name=SSH, dest=meineMail-Adresse]
logpath  = /var/log/auth.log
maxretry = 3


[ssh-ddos-iptables]

enabled  = true
filter   = sshd-ddos
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#          sendmail-whois[name=SSH, dest=meineMail-Adresse]
logpath  = /var/log/auth.log
maxretry = 3


[postfix-iptables-multiport]

enabled  = true
filter   = postfix
action   = iptables-multiport[name=Postfix, port="pop3,imap", protocol=tcp]
#          sendmail-whois[name=Postfix, dest=meineMail-Adresse]
logpath  = /var/log/mail.log
maxretry = 3


[dovecot-iptables-multiport]

enabled  = true
filter   = dovecot
action   = iptables-multiport[name=Dovecot, port="pop3,imap", protocol=tcp]
#          sendmail-whois[name=Dovecot, dest=meineMail-Adresse]
logpath  = /var/log/mail.log
maxretry = 3


[apache-auth]

enabled  = true
filter   = apache-auth
action   = iptables-multiport[name=Apache-Auth, port="http,https", protocol=tcp]
#          sendmail-buffered[name=Apache-Auth, lines = 5, dest=meineMail-Adresse]
logpath  = /var/log/apache2/access_log
bantime  = 1200
maxretry = 3


[apache-badbots]

enabled  = true
filter   = apache-badbots
action   = iptables-multiport[name=Apache-BadBots, port="http,https", protocol=tcp]
#          sendmail-buffered[name=Apache-BadBots, lines = 5, dest=meineMail-Adresse]
logpath  = /var/log/apache2/access_log
bantime  = 86400
maxretry = 1


[apache-nohome]

enabled  = true
filter   = apache-nohome
action   = iptables-multiport[name=Apache-nohome, port="http,https", protocol=tcp]
#          sendmail-buffered[name=Apache-nohome, lines = 5, dest=meineMail-Adresse]
logpath  = /var/log/apache2/access_log
bantime  = 86400
maxretry = 1


[apache-noscript]

enabled  = true
filter   = apache-noscript
action   = iptables-multiport[name=Apache-noscript, port="http,https", protocol=tcp]
#          sendmail-buffered[name=Apache-noscript, lines = 5, dest=meineMail-Adresse]
logpath  = /var/log/apache2/access_log
bantime  = 86400
maxretry = 1


[apache-overflows]

enabled  = true
filter   = apache-overflows
action   = iptables-multiport[name=Apache-overflows, port="http,https", protocol=tcp]
#          sendmail-buffered[name=Apache-overflows, lines = 5, dest=meineMail-Adresse]
logpath  = /var/log/apache2/access_log
bantime  = 86400
maxretry = 1


[apache-404block]

enabled  = true
filter   = apache-404block
action   = iptables-multiport[name=Apache-404-block, port="http,https", protocol=tcp]
#          sendmail-buffered[name=Apache-404-block, lines = 5, dest=meineMail-Adresse]
logpath  = /var/log/apache2/access_log
bantime  = 86400
maxretry = 5

----------------------

Die apache-404block.conf gab es bei mir noch nicht. Ich hab sie selbst erstellt:

Code: 
[Definition]

# Option:  failregex
# Notes.:  regex to match failures to find a home directory on a server, which
#          became popular last days. Most often attacker just uses IP instead of
#          domain name -- so expect to see them in generic error.log if you have
#          per-domain log files.
# Values:  TEXT
#
#failregex = <HOST> - - \[.*\] "GET /.* HTTP/1\.[01]" 404 [0-9]+.*$
failregex = <HOST> - - \[.*\] "GET /.* HTTP/1\.[01]" 404 [0-9]+.*$

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

Und was meint Euer "erfahreneres Auge" dazu? :o
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top