Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DDOS auf Postfix und Apache (noch) an Fail2Ban vorbei? Brauch nen Tipp..

Frage Linux Apache Server

Mitglied: MetaDSB

MetaDSB (Level 1) - Jetzt verbinden

25.06.2009, aktualisiert 15:07 Uhr, 6501 Aufrufe, 1 Kommentar

Hallo! Gelegentlich bin ich gelangweilten Typen dankbar, bringen Sie mich doch beim Durchforsten der Logfiles auf neue Ideen.

Die Situation:

Grafik von dieser Woche (Postfix/Munin), Werte pro Sekunde:
03ebfd4b5a941fc210b32229c31322dd-mailfiltered-week - Klicke auf das Bild, um es zu vergrößern

1 + 7: Normal
2: Oops!
3: Ein Ausreisser wird angezeigt
4 + 5 + 6: Interpretiere ich als Nachwehen


Auffälligkeiten (Auszüge) aus Syslog:

reject: RCPT from unknown[95.134.173.73]: 450 4.1.8 <xoi@philka>: Sender address rejected: Domain not found; from=<xoi@philka> to=<abaloneb37@metadsb.de> proto=ESMTP helo=<philka>
reject: RCPT from unknown[95.134.173.73]: 450 4.1.8 <xoi@philka>: Sender address rejected: Domain not found; from=<xoi@philka> to=<abnormalitieshky446@metadsb.de> proto=ESMTP helo=<philka>
... x-Mal ..
reject: RCPT from unknown[95.134.173.73]: 450 4.1.8 <xoi@philka>: Sender address rejected: Domain not found; from=<xoi@philka> to=<activitiesn53@metadsb.de> proto=ESMTP helo=<philka>
warning: Illegal address syntax from unknown[95.134.173.73] in MAIL command: <---a.centofanti@philka>


.. viele einträge wie unten ...
reject: RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]: 450 4.1.8 <0.shim222@cs-6f1b59997abb>: Sender address rejected: Domain not found; from=<0.shim222@cs-6f1b59997abb> to=<brainstormed@metadsb.de> proto=ESMTP helo=<cs-6f1b59997abb>
reject: RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]: 450 4.1.8 <0.shim222@cs-6f1b59997abb>: Sender address rejected: Domain not found; from=<0.shim222@cs-6f1b59997abb> to=<braquem0@metadsb.de> proto=ESMTP helo=<cs-6f1b59997abb>
reject: RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]: 450 4.1.8 <0.shim222@cs-6f1b59997abb>: Sender address rejected: Domain not found; from=<0.shim222@cs-6f1b59997abb> to=<bravuraah95@metadsb.de> proto=ESMTP helo=<cs-6f1b59997abb>
warning: Illegal address syntax from host-77-81-154-140.nettelecom.ro[77.81.154.140] in MAIL command: <-mud_ku@cs-6f1b59997abb>
too many errors after RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]

So, das Ganze geht auch öfter :
warning: Connection rate limit exceeded: 66 from nat-dom5.aster.pl[212.76.37.224] for service smtp
warning: Connection rate limit exceeded: 67 from nat-dom5.aster.pl[212.76.37.224] for service smtp
warning: Connection rate limit exceeded: 68 from nat-dom5.aster.pl[212.76.37.224] for service smtp
warning: Connection rate limit exceeded: 69 from nat-dom5.aster.pl[212.76.37.224] for service smtp


Ein Lösungsansatz könnte sein, Fail2Ban ins mail.log schauen zu lassen und bei (Parameter) 3 mal reject 5xx und 450 an IPTables zu übergeben (Drop). Bantime steht bei mir auf einer Woche, das sollte auch denen mit der grösstmöglich anzunehmenden Langeweile die Motivation nehmen. Soweit die Idee, in gut 2h in Google habe ich Ansätze über "regex" gesehen, aber keine konkreten Schritte. Vielleicht habe ich auch nicht richtig gesucht oder _den einen Link_ übersehen. Kann mir da jemand einen Tipp geben wie ich die Fail2Ban dazu bekomme, sich der rejects 5xx und 450 anzunehmen?


Hmm.. ein Blick ins Log vom Apache ist schon hilfreich :
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 17 total children
[info] [client 123.125.64.38] (104)Connection reset by peer: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (32)Broken pipe: core_output_filter: writing data to the network
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 17 total children
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 17 total children
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 2 idle, and 18 total children
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 3 idle, and 21 total children
[info] [client 123.125.64.38] (104)Connection reset by peer: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (32)Broken pipe: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (104)Connection reset by peer: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (32)Broken pipe: core_output_filter: writing data to the network
[error] [client 67.19.254.98] File does not exist: /var/www/sharedip/phpMyAdmin
.. an die 30 Zeilen rausgenommen die auf ein leeres sharedip/wasauchimmer zugreifen wollen ..
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 0 idle, and 17 total children

Damit ergibt sich ein zweiter Ansatzpunkt (server seems busy). Denn in jail.conf sind Apache, -noscript und -overflow mit dem Wert 3 versehen. In diesem Fall hat es nicht gegriffen, um 12:43h und bei einer anderen IP schon: The IP 209.139.66.117 has just been banned by Fail2Ban after 4 attempts against apache-overflows.


Bleiben bei mir die Fragezeichen zu
a) rejects 5xx und 450 an IPTables
b) Apache info und error an IPTables (wenn sinnvoll. klar)


Sachdienliche Hinweise werden gerne angenommen.

Besten Dank im voraus,
CMO
Mitglied: MetaDSB
31.10.2009 um 19:58 Uhr
Nachtrag: nachdem es mir zu bunt geworden ist, habe ich dem Treiben ein Ende gesetzt. Vielleicht will der eine oder andere ja auch so oder ähnlich abstellen.

Hier mein Weg:

a) Die Länder von denen der Grossteil der Angriffsversuche über diverse Protokolle und Ports sowie Spamattacken ausgingen (Bsp. CN, RU,..), wurden kurzerhand komplett ausgeschlossen mit diesem Script für iptables: http://www.cyberciti.biz/faq/block-entier-country-using-iptables/

b) Postfix main.cf lässt keinen Spuk zu (Limits), liefert die 450, 504, 550, 554 Einträge und

c) fail2ban nimmt sich u.a. dieser Fälle an.

d) Postgrey für Greylisting und

e) diverse DNSBLs in Postfix main.cf werden eigentlich nicht mehr gebraucht, erledigen ggf. den Rest.

f) Filter für den Posteingang setzen (bisher kein false positive, aber man weiß ja nie)

g) Entspannen und geniessen.
Bitte warten ..
Ähnliche Inhalte
Firewall
gelöst PFSense 2.3.3 Squid Reverse Proxy mit Apache Tomcat

Frage von horstvogel zum Thema Firewall ...

Windows Update
gelöst Windows 10 lädt trotz entsprechender GPs Updates am WSUS vorbei (5)

Frage von diemilz zum Thema Windows Update ...

Linux
Postfix: Mailgruppe mit internen und externe Mailadressen

Frage von schneerunzel zum Thema Linux ...

Administrator.de Feedback
Tipp: Ungelöste Fragen ohne Antwort in Tickeransicht farblich hinterlegen (3)

Tipp von 132692 zum Thema Administrator.de Feedback ...

Neue Wissensbeiträge
Batch & Shell

Batch - ein paar Basics die man kennen sollte

Tipp von Pedant zum Thema Batch & Shell ...

Microsoft

Restrictor: Profi-Schutz für jedes Window

(4)

Tipp von AlFalcone zum Thema Microsoft ...

Batch & Shell

Batch zum Zurücksetzen eines lokalen Profils

Tipp von Mr.Error zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Microsoft Office
Saubere HTML aus Word-Dokument (16)

Frage von peterpa zum Thema Microsoft Office ...

Router & Routing
ASUS RT-N18U mit VPN Client hinter Fritzbox - Portforwarding (15)

Frage von marshall75000 zum Thema Router & Routing ...

Hosting & Housing
gelöst Webserver bei WIX, aber DNS Server wo anders (9)

Frage von laster zum Thema Hosting & Housing ...