Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mögliche BF Attacke gegen meinen Mail Server

Mitglied: greatmgm

greatmgm (Level 2) - Jetzt verbinden

19.08.2013 um 14:09 Uhr, 1997 Aufrufe, 5 Kommentare

Hallo zusammen,

ich habe einen eigenen Mailserver im Netz stehen. Darauf läuft ein CentOS 6 mit dovecot/fetchmail.
Beim Lesen diverser logs stoße ich auf die /var/log/secure

und mir schwant da eine bruteforce-attacke von unseren gelben Freunden
Im 5 Minutentakt wird hier ein login über ssh mit den Nutzer root versucht ...

das ganze von der Adresse ... 61.175.212.62 ... und da hinter steht die www.cn12333.gov.cn


Da root bei mir nicht gelistet ist als AllowedUser, kommen dann entsprechende Fehler

hier mal das Log das sich alle 5 Minuten wiederholt:

Aug 19 14:19:08 meinserver sshd[pid]: user root from 61.175.212.62 not allowed because not listed in AllowUsers
Aug 19 14:19:08 meinserver sshd[pid]: input_userauth_request: invalid user root
Aug 19 14:19:08 meinserver sshd[pid]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.175.212.62 user=root
Aug 19 14:19:08 meinserver sshd[pid]: Failed password for invalid user root from 61.175.212.62 port 13742 ssh2
Aug 19 14:19:08 meinserver sshd[pid]: Received disconnect from 61.175.212.62: 11: Bye Bye


Das Log besteht zu 99% aus solchen Einträgen, die IP wechselt manchmal, aber nie am selben Tag (scheinen dort auch so eine Provider-DynIP zu haben)
Beispiel: 114.135.15.242 ... landet auch im Land der aufgehenden Sonne

Muß ich mir jetzt noch irgendwelche Gedanken machen, soll ich Firewall mäßig vielleicht gleich noch den IP Bereich sperren ?

Danke für Antworten/Hinweise.









Mitglied: Alchimedes
19.08.2013, aktualisiert um 16:47 Uhr
Hallo,


das ist Standard grundrauschen..... Zuerst werden in einem IP-Bereich die Services gescannt->
hier also ssh (port 22) danach automatisierter Scripkiddiescheissdreck abgelassen....
Dadurch das root bei Dir schonmal nicht darf wird es auch nichts mit dem Versuch aus yellowcountry.

Ich hab hier bei 2 Servern nen fail2ban laufen.

Gruss

Nachtrag:

Du kannst den ssh Zugang ja via Firewall nur aus einem bestimmten IP-Bereich zulassen.
Bitte warten ..
Mitglied: 16568
19.08.2013, aktualisiert um 18:24 Uhr
Und die passenden iptables-Regeln dazu findet man in meinem Blog unter der Kategorie: Blacklists


Lonesome Walker
Bitte warten ..
Mitglied: Alchimedes
19.08.2013, aktualisiert um 23:15 Uhr
Hey LW

versteh den Link nicht dazu...
und die BL nuetzt nichts wenn Du Kunden aus dem IP Bereich hast.

Ausserdem sind die Iptables Regeln 0/8 15 nichts was wirklich hilft.

Gruss
Bitte warten ..
Mitglied: 16568
20.08.2013 um 06:50 Uhr
Zitat von Alchimedes:
versteh den Link nicht dazu...

Tja, dann ist dieses Wissen nicht für Dich bestimmt.

und die BL nuetzt nichts wenn Du Kunden aus dem IP Bereich hast.

Leaseweb??? Und nur die wenigsten Firmen in DE haben asiatische Kunden.
Die müssen dann halt Abstriche machen.

Ausserdem sind die Iptables Regeln 0/8 15 nichts was wirklich hilft.

So so, ah ja...


Lonesome Walker
Bitte warten ..
Mitglied: greatmgm
20.08.2013 um 08:01 Uhr
Ah super , danke dir

dann hau ich den ip Bereich weg,
die sollen da unten gar nicht wissen das es den Server hier gibt
Stellt euch mal eine Welt ohne dieses Grundrauschen vor, das inet wäre min. 1/3 schneller
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Ransomware-Attacke - aber welche?
gelöst Frage von textilforscherViren und Trojaner10 Kommentare

Hallo Gemeinde, wir sind heute Mittag in den "Genuss" einer Ransomware-Attacke gekommen, leider finde ich bisher keinen Anhaltspunkt, um ...

Verschlüsselung & Zertifikate
TLS sicher vor Replay-Attacken?
gelöst Frage von MimetypeVerschlüsselung & Zertifikate1 Kommentar

Hallo, ich habe mir gerade mal etwas TLS angesehen. Die Erzeugung/Austausch des Schlüssels erfolgt ja sicher, sodass es für ...

Router & Routing
Sif: warning probably an attack
Frage von Maik-SRouter & Routing2 Kommentare

Hallo, seit ein paar Wochen stelle ich unregelmäßig fest, dass meine Verbindung zum Internet unterbrochen wird. Nach wenigen Minuten ...

Exchange Server

Mail Versand zu T-Online nicht möglich

Frage von HeinrichMExchange Server13 Kommentare

Hallo zusammen, ich habe hier ein Problem, wo ich momentan nicht weiter komme. Es geht, wie oben schon genannt ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...

Windows Server
NTFS Berechtigungen Ordnerstruktur
Frage von hukahu23489Windows Server11 Kommentare

Hallo, ich bin seit kurzem in einer neuen IT-Abteilung und bin über das Berechtigungskonzept des Unternehmens sehr schockiert. Ich ...