Regelmässiger Besuch aus der Ukraine

T

tsk

Member
Hallo zusammen,

ich betreibe seit Anfang Januar einen Ubuntu 16.04 (KVM) Server zwecks Hosting eines privaten Wordpress Blogs. Da ich auch Mail benötige, habe ich Postfix/Dovecot/MySQL/ClamAV/Postgrey/Amavis/SpamAssassin mit SPF und DKIM eingerichtet (im Wesentlichen nach diesem Tut: https://www.exratione.com/2016/05/a-mailserver-on-ubuntu-16-04-postfix-dovecot-mysql/.

Fail2ban überwacht alle wesentlichen Dienste, Apache ist zusätzlich über ModSecurity (inkl. Geoblocking für u.a. die Ukraine) gesichert. Alles scheint zu funktionieren.

Seit 3 Wochen nehme ich permanente Angriffe auf Postfix aus der Ukraine wahr (Adressen: 91.200.12.0/24, 91.200.13.0/24). Rund um die Uhr (bis 4x pro Minute) und mit stetig gewandelter IP lehnt mein Server die Verbindung ab. Soweit, so gut. Fail2ban ist (hier) leider völlig wirkungslos, da mit jedem Login Versuch die IP wechselt (und dieses Pack scheint wirklich über den gesamten IP Pool zu verfügen). Selbst wenn ich bereits beim ersten Fehlversuch Fail2ban triggern lassen würde, würde es 512 weitere Versuche geben, bevor man per fail2ban recidive längerfristig bannen könnte.

Da ich mir nicht anders zu helfen wusste, habe ich es händisch per UFW Block gelöst, also:

Code: 
Anywhere                   DENY        91.200.12.0/24            
Anywhere                   DENY        91.200.13.0/24

Wie geht Ihr mit solchen Situationen um? Was kann ich tun, damit dieses Rattenpack nicht meine Resourcen verbraucht, inklusive meiner Nerven?
 
Auch wenn es ein wenig "Holzhammer-Methode" ist: Ich blocke ganze Länder per route reject.
Z.B. Brasilien, Türkei, China, Ukraine, Litauen bleiben bei meinen Servern komplett aussen vor.
Wenn du nicht explizit irgendwelche Kunden aus solch einem Land hast geht der Kollateralschaden gegen Null, denn legitimen Traffic aus solch "IT Schurkenstaaten" muss man mit der Lupe suchen, zumindest meiner Erfahrung nach.

IP Listen nach Ländern geordnet gibt es z.B. hier:
http://www.ipdeny.com/ipblocks/
 
Last edited by a moderator:
Lustig, alle aufgeführten Länder blocke ich derzeit auch per Modsecurity. In Nullrouting muss ich mich zuerst einlesen. Klingt aber gut. Ich erwarte tatsächlich keinerlei legitime Clients aus der Ukraine, Russland oder China.

Gäbe es denn auch eine flexiblere Alternative? Eine, die ohne Geoblocking auskommt?
 
Gibt es sicherlich, das Problem dabei ist jedoch, wie bei Benutzung von mod_security für Apache, dass die Requests dann ja trotzdem den Service erst mal erreichen bevor geblockt werden kann, sprich einen Overhead der die Resourcen belastet hat man trotzdem.....während route den Request schon auf Kernel-Ebene abweist.

Hier noch die Methode wie ich die IP Listen verarbeite (wobei 111 die IP Liste ist):
Code: 
sed 's/$/ reject/g' 111 > 222
sed 's/^/route add -net /g' 222 > 333
Das ganze resultiert dann in der Datei 333 mit einer Liste ala:
Code: 
route add -net <ip block> reject
route add -net <ip block> reject
...
...
Anschliessend kann man die Liste einfach per ./333 in die Routingtabelle laden.
 
Ja, da hast Du vollkommen Recht. Jeder Zugriff belastet den Apache. Und Modsecurity nützt nix bei Mail. Apache-seitig mache ich mir auch keine Gedanken. Das ist alles höchst restriktiv verrammelt.

Ich denke, ich werde Deinem Vorschlag folgen. Der erlöst mich nicht nur von den Angriffen, er mindert auch die Serverlast. Und ich denke, ich werde Mail - und Webserver auf eigenen Servern separieren.

Vielen Dank für den Tipp!
 
You must log in or register to reply here.
Back
Top