Werde angegriffen.

Z

zazu

New Member
Hallo Allesamt,

habe mir heute meine Logdateien angesehen und bin dabei auf folgendes gestoßen. Begonnen hat der Angriff gestern früh. Habe jetzt schon einige Stunden gegooglet, um zu erfahren, wie ich der IP-Adresse den Zugang zum Server verwehren kann, aber nich nichts gefunden. Könnte mir jemand einen Tipp geben, wie ich den Angriff unterbinden kann?

Code: 
Jul 12 21:28:03 h****** pop3d: IMAP connect from @ [216.245.214.147]checkmailpasswd: FAILED: cameron - short names not allowed from @ [216.245.214.147]INFO: LOGOUT, ip=[216.245.214.147]
Jul 12 21:28:04 h****** pop3d: Connection, ip=[216.245.214.147]
Jul 12 21:28:04 h****** pop3d: LOGIN FAILED, ip=[216.245.214.147]
Jul 12 21:28:04 h****** pop3d: LfOGOUT, ip=[216.245.214.147]
Jul 12 21:28:05 h****** pop3d: IMAP connect from @ [216.245.214.147]checkmailpasswd: FAILED: calvin - short names not allowed from @ [216.245.214.147]DEBUG: Connection, ip=[216.245.214.147]
Jul 12 21:28:06 h****** pop3d: IMAP connect from @ [216.245.214.147]checkmailpasswd: FAILED: byron - short names not allowed from @ [216.245.214.147]ERR: LOGIN FAILED, ip=[216.245.214.147]
Jul 12 21:28:06 h****** pop3d: LOGOUT, ip=[216.245.214.147]
Jul 12 21:28:07 h****** pop3d: Connection, ip=[216.245.214.147]
Jul 12 21:28:08 h****** pop3d: IMAP connect from @ [216.245.214.147]checkmailpasswd: FAILED: caesar - short names not allowed from @ [216.245.214.147]ERR: LOGIN FAILED, ip=[216.245.214.147]
Jul 12 21:28:08 h****** pop3d: LOGOUT, ip=[216.245.214.147]
Jul 12 21:28:09 h****** pop3d: Connection, ip=[216.245.214.147]
Jul 12 21:28:10 h****** pop3d: LOGIN FAILED, ip=[216.245.214.147]

/Edit:
Entschuldigt die dämliche Überschrift. Wollte die eigentlich vorm absenden noch ändern.
 
MOD: Full-Quote entfernt!

Kündige deinen Server, du hast keine Ahnung von dem was du tust.
 
Last edited by a moderator:
virtual2 said:
Kündige deinen Server, du hast keine Ahnung von dem was du tust.
Click to expand...

<OT> Verzichte bitte auf Full-Quotes und trage doch was Sachliches zum Thema bei ;) </OT>

@zazu: Wie schon geschrieben: iptables, fail2ban
Ist aber mehr oder weniger "normales" Grundrauschen. Wenn du noch weiter durch deine Logdateien schaust, wirst du noch ganz ähnliches auf deinem Webserver und evtl. anderen Diensten finden.
 
Naja, die Grundlagen von IPTables gehören zum mindesten dazu einen Server im www zu betreiben.

Da hab ich einfach kein Verständnis.
 
MOD: Fullquote entfernt.

*rotz* Schwachsinn!!! Du denkst auch du bist die Serverpolizei oder wat? Man kann auch sehr gut ohne IPTables auskommen, also spiel dich mal hier nicht auf !
 
Last edited by a moderator:
Auch wenn ich die grundsätzliche Aussage unterstütze, möchte ich dich (HxD) darauf hinweisen, dass dein Ton unangemessen ist.

Bitte sachlich bleiben.
 
Lieber Virtual2,

Ich lese seit einiger Zeit deine Posts und jedes mal, platzt mir fast der Kragen. Ich administriere schon lange Server (Windows als auch Linux) kenne aber immernoch nicht die ipTables Befehle. Ich nutze da einfach meine Hilfetools...(jedoch verstehe ich die iptables Befehle, kenne sie aber nicht auswendig)
Dennoch, was mich sehr nervt, seit du hier angemeldet bist, tust du nichts anders als "einen auf wichtig tun". Du verhälst dich, als wärst DU mit deinen "12 Jahren" (Alter dem Verhalten entsprechend angepasst) DER Administrator schlicht hin und müsstest jetzt jedem sagen, wie toll du bist und daher die anderen das nicht hinbekommen werden.

Ich bitte dich daher von Herzen. Unter lass das bitte, denn das nervt, wie du siehst, nicht nur mich.

Und sorry für den Offtopic, aber das musste nun mal raus.

Viele Grüße,

der (noch) ruhige blupp1
 
Hi,

wie wstuermer schon sagt, dass ist normales Rauschen. Damit musst du einfach leben, fail2ban kann eine Lösung sein, kann aber auch unschöne Nebeneffekte herbeiführen.

virtual2 said:
Naja, die Grundlagen von IPTables gehören zum mindesten dazu einen Server im www zu betreiben.
Click to expand...

Dazu muss man wohl nichts mehr sagen, ich werd dann meinem Chef sagen, dass wir unsre Webkisten runterfahren müssen, da ich IPTables nicht im mindesten einsetze ;)

dante
 
Sodale, erstmal folgendes, es sollte keineswegs so rüber kommen wie das hier anscheinend verstanden wird.

Ich wollte und will niemanden anpfeifen oder was auch immer, ich krieg aber ehrlich gesagt einen Schreikrampf, wenn ich solche Beiträge in Foren sehe.

Ich habe kein Verständnis dafür, Services ohne jegliche Kenntniss mit der Sicherheitsthematik im www anzubieten.

Der Umgang mit IPTables gehört nunmal zu den Grundlagen als Linux root.

@Dante: Es geht mir nicht um den Einsatz, sondern um die Kenntnisse mit dem Umgang von IPTables.
 
Last edited by a moderator:
So ein Schei** hab ich noch nie gelesen.

Du willst also, dass der nette Threadowner anstatt hier zu fragt, das Problem einfach ignoriert, weil er denkt, dass er sowieso von Leuten wie dir blöd angemacht wird?

Ich habe kein Verständnis dafür, Services ohne jegliche Kenntniss mit der Sicherheitsthematik im www anzubieten.
Click to expand...

Ich habe kein Verständnis dafür, wenn Leute andere Leute wegen ihrer "Dummheit" (so stellst du es dar) fertig gemacht werden.

Fragen sind zum Fragen da, und so funktioniert eben ein Forum. Wenn dir das nicht passt, kannst du gern Thorsten schreiben, dass er deinen Nick löscht.

Ich habe kein Verständnis dafür, Services ohne jegliche Kenntniss mit der Sicherheitsthematik im www anzubieten.
Click to expand...

Wach auf! Es ist falsch. Nur weil DU es benutzt und angeblich weißt wie man damit umgeht, soll es JEDER wissen müssen? Warum soll ich etwas lernen was ich nicht brauche (grob gesagt)? Ich habe keine Ahnung von LVM. Ich habe kein Ahnung von KVM (Virtualisierung). Warum? Weil ich das nie gebraucht habe. Soll ich jetzt meinen Server abschalten?

EDIT: http://www.josephh-blog.de/?p=146 <- Was sind Truthahn Hacker, und warum sind sie dumm?
 
Last edited by a moderator:
Sorry virtual2, aber auch ich habe kaum Ahnung von IPTables/Netfilter, da ich keine dedizierte Firewall (welche ich bei Bedarf ohnehin unter Anderem aus Performancegründen unter FreeBSD statt Linux aufsetzen würde) betreibe und auch kein Portforwarding oder andere IPTables/Netfilter-Features benötige.

Und nein, IPTables/Netfilter gehört definitiv nicht zu den Grundlagen, da es dafür viel zu komplex ist. Desweiteren schiesst man sich damit schneller ins eigene Knie, als es einem lieb ist, eben weil es so komplex ist.

Abschliessend wiederhole ich mich gerne nochmal: IPTables/Netfilter bringt auf dem zu "schützenden System" keinerlei Sicherheitsgewinn, im Gegenteil, durch das falsche Sicherheitsgefühl und den zusätzlich zu durchlaufenden Code wird das System unsicherer und langsamer.
 
Hey,

auch ich kann iptables nicht aus dem Kopf runter tippen, aber wie viele meiner Vorposter weiß ich, was es tut und wo ich nachlesen muss, um etwas Sinnvolles damit umzusetzen und auch zu merken, wenn in einer Regel Müll steht.

Und ich denke, genau darum geht es virtual2. Ich sehe auch, dass hier viel zu viele Leute aufschlagen, deren Unwissen im Umgang hoch bedenklich ist. Und bei einigen stellt sich auch die Frage, ob man in seitenlangen Threads versucht Probleme zu lösen, deren Hintergründe nicht im Ansatz verstanden werden und statt dessen copy&paste alles in Putty wandert, was man schreibt. Oder ob man dann eben das sagt, was zu sagen ist: Sorry, lern Linux bevor dein Server anderen zur Last fällt.
 
virtual2 said:
Sodale, erstmal folgendes, es sollte keineswegs so rüber kommen wie das hier anscheinend verstanden wird.

Ich wollte und will niemanden anpfeifen oder was auch immer, ich krieg aber ehrlich gesagt einen Schreikrampf, wenn ich solche Beiträge in Foren sehe.

Ich habe kein Verständnis dafür, Services ohne jegliche Kenntniss mit der Sicherheitsthematik im www anzubieten.

Der Umgang mit IPTables gehört nunmal zu den Grundlagen als Linux root.

@Dante: Es geht mir nicht um den Einsatz, sondern um die Kenntnisse mit dem Umgang von IPTables.

PS: Beleidigungen kann man mir übrigens gerne per heulsuse@josephh-blog.de zukommen lassen ;)
Click to expand...


Hi,
Es ist ein Serversupport Forum wo sich viele auch von erwarten das ihnen bei solchen Problemen Tipps gegeben werden oder geholfen wird!
Wäre das nicht der Fall hätte das Forum den Falschen Namen ;)

Anstatt immer zu sagen Kündige deinen Server usw. würde ich den Leuten einfach mal helfen! Wie wäre es damit? Man steht so auch besser dar wenn man selber mal Hilfe benötigt!

MFG
 
master ok said:
Anstatt immer zu sagen Kündige deinen Server usw. würde ich den Leuten einfach mal helfen!
Click to expand...

Hilfst du auch jemanden, der ohne Führerschein in ein Auto steigt, die Kupplung zu finden?

Helfen is cool, aber man sollte in einem Forum über Server auch ein wenig Grundlagen erwarten können.

Eins noch: Dieser Thread ist für eine solche Diskussion vollkommen ungeeignet, da es hier gerade nicht so läuft wie so oft.
 
Last edited by a moderator:
Nun, zum Problem des Threaderstellers kann ich leider nicht weiter beitragen. Jedoch:

Ohai virtual 2, dich kenn ich doch aus jenem Lima-Chat. Wie immer sind deine Beiträge nicht sonderlich hilfreich, gar niedermachend sind sie. Ich persöhnlich habe mich auch nie groß mit iptables beschäftigt, wenn Du mich so fragst: "Wie macht man $dinge mit iptables??" würd ich es auch nicht wissen. Jedoch weiß ich, dass es in diesem Internetz Hilfe gibt. Meistens ist eine manpage zwar die bessere Alternative, aber nungut :p

Naja, kommen wir zum lustigen Teil (oder doch eher traurig?), ich besuchte gerade deinen Blog und musste feststellen, dass du scheinbar nicht in der Lage bist, DNS-Records korrekt zu konfigurieren. Bitte kündige dein Arbeitsverhältnis zu den myprofil.net-Leuten und rate ihnen dazu, sofort ihre Server zu kündigen. DU HAST KEINEN PLAN!! myprofil.net hat bloß mx-Records, woraufhin ich www.myprofil.net überprüfte und feststellen musste, dass gar keine Records vorhanden sind. jugend.cc begrüßt den Besucher mit einen HTTP-Authentication und auf deinem Blog sehe ich doch glatt auf der Startseite ganze 18 Zeichensatzfehler!! Sage mal, hast Du noch nie etwas von Zeichensätzen gehört?? Ich kann mich nur wiederholen - Kündige dein Arbeitsverhältnis zu myprofil.net, kündige die Server!
 
Hallo Telelo,

na, dass ist aber auch schon ewig her - min. 2-3 Jahre =)


So, nunmal zu myprofil: Ich arbeite bei dem Verein nicht mehr, da es mich massiv geärgert hat hintergangen zu werden und dann auch noch meine Freizeit für nichts einfach so anzubieten, die Kombination stimmt nicht. Von daher bin ich seit gut 2 Monaten nicht mehr für die Administration verantwortlich, daraus folgt: Nicht mein Bier ;=)

Mein Blog: Ich sag nur eins, verhautes MySQL Dump, welches ich wieder eingespielt habe, bin aber noch nicht dazu gekommen das zu beheben, die Zeit fehlt leider.

So, nun zur Hilfe für den TE:

Installiere fail2ban und passe die jail.conf soweit an, dass nach 6 maligen falschen auth versuchen der Angreifer für 10 Minuten via iptables ausgesperrt wird, das sollte dann reichen.
 
Last edited by a moderator:
virtual2 said:
Du bist nicht auf dem neusten Stand wodurch du Blödsinn verzapfst, sorry, aber da platzt mir der Kragen.
Click to expand...
Woher willst Du seinen Kenntnisstand wissen ?
Dir scheint sehr oft der Kragen zu platzen, da frage ich mich, wieso hälst Du dich dann nicht einfach zurück, und gehts einfach mal inne. Yoga soll da helfen, hab ich mal gehört.

Warum ärgerst Du dich über andere dermaßen, dass dir immer und immer wieder der Kragen platzt ?
Jeder hat mal klein angefangen. Das schönste für einen Administrator ist doch der erste Server. An diesen kann sich doch jeder noch selber erinnern oder ?
Oder wusstest du sofort, wo du das Wort "Dedicated Server" gehört hast, wie eine Firewall funktioniert ?

Also, entweder man hält sich ein wenig zurück, und gibt konstruktive Kritik sowie Hilfestellung, oder man lässt es.

B2T: Ich denke mal, hier wurden schon diverse Hilfen gegeben.
 
You must log in or register to reply here.
Back
Top