Mailserver-Angriffe

  • Thread starter Thread starter Deleted member 14254
  • Start date Start date
D

Deleted member 14254

Guest
Hallo zusammen...

Seit Tagen habe ich regelmäßig folgendes in den Logs:

Code: 
Dec 13 13:59:59 mein_servername postfix/smtpd[6022]: connect from 114-42-157-197.dynamic.hinet.net[114.42.157.197]
Dec 13 14:00:00 mein_servername postfix/smtpd[6022]: NOQUEUE: reject: RCPT from 114-42-157-197.dynamic.hinet.net[114.42.157.197]: 554 5.7.1 <smtp@k888.tw>: Relay access denied; from=<dfteryeh@hotmail.com> to=<smtp@k888.tw> proto=SMTP helo=<meine_server_ip>

Dec 13 14:24:58 mein_servername postfix/smtpd[6065]: connect from 114-42-134-188.dynamic.hinet.net[114.42.134.188]
Dec 13 14:24:59 mein_servername postfix/smtpd[6065]: NOQUEUE: reject: RCPT from 114-42-134-188.dynamic.hinet.net[114.42.134.188]: 554 5.7.1 <smtp@k888.tw>: Relay access denied; from=<dfteryeh@hotmail.com> to=<smtp@k888.tw> proto=SMTP helo=<meine_server_ip>

[B][I][U]aber auch sowas hier:[/U][/I][/B]

Dec 13 16:59:46 mein_servername postfix/smtpd[6321]: connect from 114-42-157-197.dynamic.hinet.net[114.42.157.197]
Dec 13 16:59:46 mein_servername postfix/smtpd[6321]: warning: non-SMTP command from 114-42-157-197.dynamic.hinet.net[114.42.157.197]: GET http://www.scanproxy.com:80/p-25.html HTTP/1.0

Dec 13 17:10:07 mein_servername postfix/smtpd[6362]: connect from 114-42-134-188.dynamic.hinet.net[114.42.134.188]
Dec 13 17:10:07 mein_servername postfix/smtpd[6362]: NOQUEUE: reject: RCPT from 114-42-134-188.dynamic.hinet.net[114.42.134.188]: 554 5.7.1 <smtp@k888.tw>: Relay access denied; from=<dfteryeh@hotmail.com> to=<smtp@k888.tw> proto=SMTP helo=<meine_server_ip>
Dec 13 17:10:08 mein_servername postfix/smtpd[6362]: lost connection after RCPT from 114-42-134-188.dynamic.hinet.net[114.42.134.188]
Dec 13 17:10:08 mein_servername postfix/smtpd[6362]: disconnect from 114-42-134-188.dynamic.hinet.net[114.42.134.188]


Fail2ban schlägt bei mir auch an:

Code: 
2012-12-13 03:10:01,339 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.6
2012-12-13 03:10:01,645 fail2ban.filter : INFO   Log rotation detected for /var/log/mail.log
2012-12-13 03:10:02,429 fail2ban.filter : INFO   Log rotation detected for /var/log/mail.log
2012-12-13 03:10:02,429 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2012-12-13 03:10:02,435 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2012-12-13 03:10:53,703 fail2ban.filter : INFO   Log rotation detected for /var/log/mail.log
2012-12-13 03:10:54,484 fail2ban.filter : INFO   Log rotation detected for /var/log/mail.log
2012-12-13 14:00:01,149 fail2ban.actions: WARNING [postfix] 114.42.157.197 already banned
2012-12-13 14:25:00,876 fail2ban.actions: WARNING [postfix] Ban 114.42.134.188
2012-12-13 15:00:10,326 fail2ban.actions: WARNING [postfix] 114.42.134.188 already banned
2012-12-13 15:44:06,370 fail2ban.actions: WARNING [postfix] 114.42.134.188 already banned
2012-12-13 16:28:56,457 fail2ban.actions: WARNING [postfix] 114.42.134.188 already banned
2012-12-13 17:04:33,767 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2012-12-13 17:04:33,928 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2012-12-13 17:10:09,250 fail2ban.actions: WARNING [postfix] 114.42.134.188 already banned

Hier noch die DROP's der Adressen in iptables:

Code: 
Chain fail2ban-POSTFIX (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  any    any     114-42-134-188.dynamic.hinet.net  anywhere            
    0     0 DROP       all  --  any    any     114-42-157-197.dynamic.hinet.net  anywhere

Normal, diese Aggression... Also wenn man geblockt wird durch iptables, es am nächsten tag wieder, dann wieder und dann wieder zu versuchen?! Gehört das noch zum "Grundrauschen" oder schon etwas Ernsteres?

Danke Euch!
 
Manchmal kommen schwallweise Versuche, postfix als Relay zu missbrauchen oder Passwörter zu probieren.
Sind wohl viele Bots auf PCs und manchen Servern.
 
Danke für Deine schnelle Antwort, GwenDragon!

Also an den Passwörtern dürfte er scheitern, die sind über 50 Zeichen lang. Mache mir nur etwas Sorgen wegen der Hartnäckigkeit dieses Jemanden. Die Bantime steht bei mir auf 1 Tag. Ausser mir nutzt den Mailserver zum Versenden ohnehin niemand und Fehler beim Passwort steht auf 1 Versuch. Wenn er nicht von meiner IP kommt, wird nach einem Fehlversuch, Postfix als Relay zu missbrauchen, sofort über iptables der Ban ausgesprochen.
 
Danke auch Dir, virtual2! Nagut, dann werd ich versuchen, das Ganze etwas gelassener zu betrachten :o
 
Heute ist auf jeden Fall der Meilserver-Nervtag:

Dies hier:

Code: 
Dec 13 19:22:56 servername dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=75.151.43.77, lip=server_ip, session=<JK+e18DQkQBLlytN>
Dec 13 19:22:56 servername dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=75.151.43.77, lip=server_ip, session=<+7qe18DQjwBLlytN>
Dec 13 19:22:56 servername dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=75.151.43.77, lip=server_ip, session=<Vbue18DQkABLlytN>
Dec 13 19:22:57 servername dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=75.151.43.77, lip=server_ip, session=<F2us18DQmABLlytN>
Dec 13 19:22:57 servername dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=75.151.43.77, lip=server_ip, session=<2Bit18DQnQBLlytN>
Dec 13 19:22:57 servername dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=75.151.43.77, lip=server_ip, session=<NCGt18DQmgBLlytN>
Dec 13 19:22:57 servername dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=75.151.43.77, lip=server_ip, session=<xxWw18DQoABLlytN>
Dec 13 19:22:58 servername dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=75.151.43.77, lip=server_ip, session=<GmS618DQogBLlytN>
Dec 13 19:22:58 servername dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=75.151.43.77, lip=server_ip, session=<0VK818DQpwBLlytN>
Dec 13 19:22:58 servername dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=75.151.43.77, lip=server_ip, session=<Y7q818DQrABLlytN>
Dec 13 19:22:58 servername dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=75.151.43.77, lip=server_ip, session=<nPG818DQrQBLlytN>
Dec 13 19:22:59 servername dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=75.151.43.77, lip=server_ip, session=<pQrL18DQuABLlytN>
Dec 13 19:22:59 servername dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=75.151.43.77, lip=server_ip, session=<PR3L18DQswBLlytN>

(folgen noch hunderte danach, exakt dasselbe...)

Ebenso hier:

Code: 
Dec 13 19:23:10 server postfix/smtpd[7223]: connect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]
Dec 13 19:23:13 server postfix/smtpd[7223]: disconnect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]
Dec 13 19:23:14 server postfix/smtpd[7223]: connect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]
Dec 13 19:23:15 server postfix/smtpd[7224]: connect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]
Dec 13 19:23:15 server postfix/smtpd[7225]: connect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]
Dec 13 19:23:15 server postfix/smtpd[7226]: connect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]
Dec 13 19:23:15 server postfix/smtpd[7227]: connect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]
Dec 13 19:23:15 server postfix/smtpd[7228]: connect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]
Dec 13 19:23:15 server postfix/smtpd[7229]: connect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]
Dec 13 19:23:15 server postfix/smtpd[7230]: connect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]
Dec 13 19:23:16 server postfix/smtpd[7231]: connect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]
Dec 13 19:23:16 server postfix/smtpd[7232]: connect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]
Dec 13 19:23:16 server postfix/smtpd[7233]: connect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]
Dec 13 19:23:16 server postfix/smtpd[7234]: connect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]
Dec 13 19:23:16 server postfix/smtpd[7235]: connect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]
Dec 13 19:23:16 server postfix/smtpd[7236]: connect from 75-151-43-77-Naples.hfc.comcastbusiness.net[75.151.43.77]

folgen ebenfalls hunderte danach...

hatte ich in den letzten 2 h im mail.log... [MOD: Beleidigung entfernt], echt. Was haben die davon?!
 
Last edited by a moderator:
Hab ich seit ewig sowas.... chillen, lachen und genießen. Maximal über evtl verschwendete Ressaurcen ärgern.
Der Bot weiß doch nicht wo was zu holen ist und wo nicht. Der Mist rennt halt mit Listen durch .... Also kein Problem.


Gruß Sven
 
Hallo svenr,

Jo, bei mir müssen diese Bilder erst noch zu einer eingeprägten Gewohnheit werden, dann versuch ich, es so gelassen zu sehen :o
 
ich analysiere die IPs der Blocks und wenn der Angreifer aus der EU ist, bekommt der Provider eine Abusemeldung.

[MOD: Frage entfernt / Offtopic]
 
Last edited by a moderator:
GwenDragon said:
ich analysiere die IPs der Blocks und wenn der Angreifer aus der EU ist, bekommt der Provider eine Abusemeldung.
Click to expand...

Bringt in 90% der Fälle nur verschwendete Zeit und keine Reaktion seitens des jeweiligen ISPs.

Am besten einfach darüber lachen und fail2ban die Arbeit machen lassen, alles andere ist unnötig ;)
 
Hallo zusammen :)

Danke für Eure Unterstützungen!!!! Heute ging es weiter heiß her... Dasselbe wie gestern. Bin gerade dabei herauszufinden, warum bei mir der jail dovecot mit regex:

Code: 
failregex = .*(?:pop3-login|imap-login):.*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*

failregex = (?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*

failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*

nicht greifen will. Der erste ist der originale. Die anderen habe ich mal etwas angepasst. Dennoch, keine Besserung :( Könntet ihr mal gerade über die regexes drüberschauen... Ich begreife einfach nicht, warum der nicht greift... Postfix usw. die anderen, apache - relevanten greifen...

Dovecot ist Version 2.1.12-r1 (gentoo-hardened)

Edit: Keiner eine Idee?
 
Last edited by a moderator:
Ein wenig gesucht...

Code: 
failregex = dovecot.*pop3-login.*Aborted login.*rip=<HOST>.*
brachte Erfolg!

...
Code: 
2012-12-15 00:47:00,400 fail2ban.actions: WARNING [dovecot] Ban 75.151.43.77

Code: 
Chain fail2ban-DOVECOT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   75  3600 DROP       all  --  any    any     75-151-43-77-Naples.hfc.comcastbusiness.net  anywhere           
  294 28280 RETURN     all  --  any    any     anywhere             anywhere
...

OT: Warum hast Du den fachgerechten Ausdruck für diese Art von Leuten weggemacht, Thorsten?
hatte ich in den letzten 2 h im mail.log... [MOD: Beleidigung entfernt], echt. Was haben die davon?!
Click to expand...

Das war noch harmlos... Hätte derjenige mich in freier Wildbahn angegriffen (Haus, Family), hätten die Zahnärzte jetzt immernoch vergeblich zu tun, um ihn zu identifizieren... Sorry, klingt hart aber hätte ich auf Erden was zu kamellen, könnten sich korrekte Menschen die glücklichsten unter Gottes Sonne schätzen. Welche, die, mit Genuß anderen Schaden wollen, würden - nach und nach - verschwinden und nirgends mehr auftauchen.
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top