Riesen Problem: Server unerreichbar durch Angriffe trotz fail2ban

[Valeron]

Hallo liebe Forengemeinde,
ich lese bereits seit einiger Zeit in diesem tollen und wirklich hilfreichen Forum, nun habe ich mich entschieden selbst teil dieser Gemeinde werden zu wollen und mich registriert. Nunja und mein erster Beitrag ist leider auch gleich eine Frage bez. meines Problems, welches leider derzeit die oberhand hat bei mir.

Seit ich einen neuen Server (Debian Lenny unstable) aufgesetzt habe, wird dieser scheinbar komplett durch Angriffe lahm gelegt - und das halt meistens in den Abendstunden. Ich habe natürlich bereits fail2ban installiert, und es scheint auch zu greifen bei einigen ANgriffen, allerdings wohl nicht bei allen, denn der Server ist abends dennoch immer platt. Fail2Ban haut mir auch einen Fehler raus in der Log Datei, welchen ich aber nicht ganz nachvollziehen kann:

2009-01-01 22:42:fail2ban.actions.action: ERROR  iptables -N fail2ban-apache-overflows
iptables -A fail2ban-apache-overflows -j RETURN25,610 
iptables -I INPUT -p tcp -m multiport --dports http,https -j fail2ban-apache-overflows returned 400

Des weiteren ist ein Problem, das ich einige zusätzliche Ports auf dem System offen haben muss, da ich dort einen Prozess laufen habe, welcher zB. 8000er und 9000er Ports benötigt.

Meine Frage nun: Wie kann ich auch diese Ports vor solchen Hackangriffen schützen, ohne diese abzuschotten? Denn die externen Programme müssen ja auf diese Ports ohne EInschränkungen zugreifen können?

Kann fail2ban das? und wenn ja, wie?
Oder gibt es eine andere ALternative, welche alle Ports überwacht und mich vor so Server-Lahmlegenden ANgriffen schützt?

Über eine kompetente Hilfe würde ich mich sehr freuen.

Gruß Valeron

 

[Roger Wilco]

Seit ich einen neuen Server (Debian Lenny unstable) aufgesetzt habe, wird dieser scheinbar komplett durch Angriffe lahm gelegt

Wie kommst du konkret darauf?

denn der Server ist abends dennoch immer platt.

Definiere "platt" - am besten unterlegt mit konkret nachvollziehbaren Logmeldungen oder Kenngrößen.

Meine Frage nun: Wie kann ich auch diese Ports vor solchen Hackangriffen schützen, ohne diese abzuschotten?

Wenn die Prozesse entsprechende Logmeldungen mit der IP-Adresse der "Angreifer" erstellen, kannst du diese durch fail2ban parsen lassen.

Oder gibt es eine andere ALternative, welche alle Ports überwacht und mich vor so Server-Lahmlegenden ANgriffen schützt?

Definiere "Server-Lahmlegenden Angriffe".

 

[Valeron]

Hallo Roger,

vielen Dank erstmal für die schnelle ANtwort.

Also das Lahmlegen siht wie folgt aus: Wenn diese vermeintlichen ANgriffe begonnen haben, ist der Server nicht mehr erreichbar - weder über http,noch über die von mir genutzten Ports der 8000er und 9000er reihe (Die externe SOftware hat direkt einen timeout und kann nicht verbinden) Auch über WinSCP und Putty komme ich dann nicht mehr auf den Server, kann nicht verbinden wegen timeout. Das komische ist, das das Pingen dennoch meistens geht, zwar mit höheren Pingzeiten, aber es geht direkt durch.
In den Logfiles konnte ich nichts besonderes finden dazu, außer das in dem Zeitfenster, wo der Server wieder lahmgelegt ist, 3-4 IPs einen Ban von Fail2ban bekommen haben, und z.T jemand versucht hat mit div. Benutzernamen auf den Mailserver zuzugreifen. Ansonsten sehen die logs eigentlich "leer" aus bzw. sind in dem Zeitraum keinerlei auffällige Sachen zu entdecken...
Ich bin echt am verzweifeln, weil dieses Problem wirklich mittlerweile jeden Abend auftritt.

Bez. des Parsen von Logs durch fail2ban: Das Problem ist, das der Service, der unter den Ports erreichbar ist zwar logging erlaubt, jedoch nicht auf IPs bezogen sondern nur auf Service interne Meldungen, und das bringt mir dann ja leider nichts.

Ich dachte zuerst das ggf. ich den Service selber überlastet habe und sich der Server daher aufhängt, aber das ist dann wohl doch nicht der Fall gewesen, weil der server ohne Neustart am nächsten Morgen nach einem ANgriff wieder problemlos läuft und ich auch auf die Services , die die Ports der 8000er und 9000er reihe nutzen zugreifen kann, ohne diese neu zu starten (und automatisch startet er diese services nicht neu, auch nicht nach einem reboot, da ich dies noch nicht so konfiguriert habe) - also schließe ich daraus, das es nicht daran liegt das sich einer der Services aufhängt.

Ich bin echt am Verzweifeln.

Gruß Valeron

 

[Roger Wilco]

Lass eine zeitlang tcpdump oder WireShark mitlaufen und Teile des Netzwerkverkehrs loggen (Verbindungsdaten sollte ausreichen, Payload muss nicht sein). Damit solltest du ermitteln können, ob es tatsächlich ein Netzwerkproblem ist (nach deiner Beschreibung eine DoS-Attacke) oder ob das Problem hausgemacht ist (z. B. amoklaufender Prozess in einem Cronjob). Wenn das Problem immer um die gleiche Zeit auftritt, ist letzteres wahrscheinlich.