Mailserver Angriffe ???

ms-networker

Registered User
Guten Abend zusammen,

beim durchsehen meiner Logs ist mir vermehrt aufegfallen, dass mein Server immer wieder von vielen gleichen IP's hintereinander angesprochen wird! Hab hier mal einen Auszug (verkürzt):

Code:
Jul  7 17:18:32 s1xxxxx relaylock: /var/qmail/bin/relaylock: mail from 201.210.136.168:1640 (201-210-136-168.genericrev.cantv.net)
Jul  7 17:18:38 s1xxxxx relaylock: /var/qmail/bin/relaylock: mail from 201.210.136.168:1638 (201-210-136-168.genericrev.cantv.net)
Jul  7 17:18:41 s1xxxxx relaylock: /var/qmail/bin/relaylock: mail from 201.210.136.168:1650 (201-210-136-168.genericrev.cantv.net)
Jul  7 17:18:49 s1xxxxx relaylock: /var/qmail/bin/relaylock: mail from 201.210.136.168:1663 (201-210-136-168.genericrev.cantv.net)
Jul  7 17:18:55 s1xxxxx relaylock: /var/qmail/bin/relaylock: mail from 201.210.136.168:1662 (201-210-136-168.genericrev.cantv.net)

Davon habe ich eine ganze Menge aus verschiedenen IPs, verstärkt in den letzten zwei Tagen. Können Angriffe auf den Mailserver sein ??

Die IP Adressen habe ich erstmal mit: iptables -I INPUT -s xx.xx.xx.xx -j REJECT gesperrt.

Kurze Zeit vorher hab ich auch noch folgendes gefunden

Code:
Jul  7 17:00:03 s1xxxxx logrotate: ALERT exited abnormally with [1]
Jul  7 17:00:03 s1xxxxx logrotate: /usr/bin/mysqladmin: connect to server at 'localhost' failed
Jul  7 17:00:03 s1xxxxx logrotate: error: 'Access denied for user 'root'@'localhost' (using password: NO)'
Jul  7 17:00:03 s1xxxxx logrotate: /etc/logrotate.d/mysql failed, probably because
Jul  7 17:00:03 s1xxxxx logrotate: the root acount is protected by password.
Jul  7 17:00:03 s1xxxxx logrotate: See comments in /etc/logrotate/mysql on how to fix this
Jul  7 17:00:03 s1xxxxx logrotate: error: error running postrotate script for /var/lib/mysql/mysqld.log

Wenn mir jemand kurz dazu was posten würde, wäre ich sehr dankbar.

Beste Grüße
ms-networker
 
Davon habe ich eine ganze Menge aus verschiedenen IPs, verstärkt in den letzten zwei Tagen. Können Angriffe auf den Mailserver sein ??
Es sind halt Schulferien :(
...
SMTP connect from unknown@ [216.170.108.216]
smtp_auth: FAILED: jean - no such user from unknown@ [216.170.108.216]
/var/qmail/bin/relaylock: mail from 216.170.108.216:3235 (not defined)
SMTP connect from unknown@ [216.170.108.216]
smtp_auth: FAILED: jenny - no such user from unknown@ [216.170.108.216]
/var/qmail/bin/relaylock: mail from 216.170.108.216:3336 (not defined)
SMTP connect from unknown@ [216.170.108.216]
smtp_auth: FAILED: joey - no such user from unknown@ [216.170.108.216]
/var/qmail/bin/relaylock: mail from 216.170.108.216:3439 (not defined)
SMTP connect from unknown@ [216.170.108.216]
smtp_auth: FAILED: kelly - no such user from unknown@ [216.170.108.216]
/var/qmail/bin/relaylock: mail from 216.170.108.216:3539 (not defined)
SMTP connect from unknown@ [216.170.108.216]
smtp_auth: FAILED: laura - no such user from unknown@ [216.170.108.216]
/var/qmail/bin/relaylock: mail from 216.170.108.216:3639 (not defined)
SMTP connect from unknown@ [216.170.108.216]
smtp_auth: FAILED: lauren - no such user from unknown@ [216.170.108.216]
/var/qmail/bin/relaylock: mail from 216.170.108.216:3739 (not defined)
SMTP connect from unknown@ [216.170.108.216]
smtp_auth: FAILED: lincoln - no such user from unknown@ [216.170.108.216]
/var/qmail/bin/relaylock: mail from 216.170.108.216:3839 (not defined)
SMTP connect from unknown@ [216.170.108.216]
smtp_auth: FAILED: loveme - no such user from unknown@ [216.170.108.216]
...
 
Danke für die Antwort.

Habe bereits Fail2ban installiert, doch leider das scheint nicht richtig zu funktionieren, weil der nix sperrt obwohl ich den "eigentlich" richtig konfiguriert hab. Dann Sperr ich die immer noch per Hand, zwar etwas umständlich aber besser als nix.

Hat jemand evtl. Erfahrung mit Denyhosts dazu habe ich folgende HowTo (die bezieht sich aber auf SSH) ?

Vielen Dank
ms-networker
 
Ich verlange von den Benutzern immer die Angabe des Usernamens inklusive Domain (womit die oben zitierte Wortlistenattacke schonmal ins Leere läuft) sowie nichttriviale Paßwörter.

Damit kostet sowas nur etwas Rechenzeit und Platz im Logfile. Solange beides nicht überhand nimmt, kann man es eigentlich entspannt sehen - ansonsten kriegt halt abuse@ eine Mail und die Sperrliste einen neuen Eintrag.

Was funktioniert denn bei Dir nicht - das Parsen des Logfiles oder das Sperren?
 
Ich verlange von den Benutzern immer die Angabe des Usernamens inklusive Domain (womit die oben zitierte Wortlistenattacke schonmal ins Leere läuft) sowie nichttriviale Paßwörter.

Das habe ich ebenfalls so eingestellt, sprich [email protected], hoffe auch etwas mehr Sicherheit dadurch zu haben.

Was Fail2ban angeht, habe ich nach deiner Frage gerade festgestellt, das dieser garnicht lief, also dementpsrechend kein Logfile & auch logischerweise kein aussperren. Werde sofort mal schauen ob das evtl. beim rebooten des Servers garnicht mitgestartet wird. Da ich mich meistens eh immer wieder selbst einlogge und den Server per Hand neustarte, schalte ich auch immer per Hand Plesk ab, dann kann ich evtl. auch Fail2ban mal starten.

Danke für die richtige Anregung und Antwort

Gruß
ms-networker
 
Last edited by a moderator:
Back
Top