Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Linux Apache Server

DDOS auf Postfix und Apache (noch) an Fail2Ban vorbei? Brauch nen Tipp..

Mitglied: MetaDSB

MetaDSB (Level 1) - Jetzt verbinden

25.06.2009, aktualisiert 15:07 Uhr, 6583 Aufrufe, 1 Kommentar

Hallo! Gelegentlich bin ich gelangweilten Typen dankbar, bringen Sie mich doch beim Durchforsten der Logfiles auf neue Ideen.

Die Situation:

Grafik von dieser Woche (Postfix/Munin), Werte pro Sekunde:
03ebfd4b5a941fc210b32229c31322dd-mailfiltered-week - Klicke auf das Bild, um es zu vergrößern

1 + 7: Normal
2: Oops!
3: Ein Ausreisser wird angezeigt
4 + 5 + 6: Interpretiere ich als Nachwehen


Auffälligkeiten (Auszüge) aus Syslog:

reject: RCPT from unknown[95.134.173.73]: 450 4.1.8 <xoi@philka>: Sender address rejected: Domain not found; from=<xoi@philka> to=<abaloneb37@metadsb.de> proto=ESMTP helo=<philka>
reject: RCPT from unknown[95.134.173.73]: 450 4.1.8 <xoi@philka>: Sender address rejected: Domain not found; from=<xoi@philka> to=<abnormalitieshky446@metadsb.de> proto=ESMTP helo=<philka>
... x-Mal ..
reject: RCPT from unknown[95.134.173.73]: 450 4.1.8 <xoi@philka>: Sender address rejected: Domain not found; from=<xoi@philka> to=<activitiesn53@metadsb.de> proto=ESMTP helo=<philka>
warning: Illegal address syntax from unknown[95.134.173.73] in MAIL command: <---a.centofanti@philka>


.. viele einträge wie unten ...
reject: RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]: 450 4.1.8 <0.shim222@cs-6f1b59997abb>: Sender address rejected: Domain not found; from=<0.shim222@cs-6f1b59997abb> to=<brainstormed@metadsb.de> proto=ESMTP helo=<cs-6f1b59997abb>
reject: RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]: 450 4.1.8 <0.shim222@cs-6f1b59997abb>: Sender address rejected: Domain not found; from=<0.shim222@cs-6f1b59997abb> to=<braquem0@metadsb.de> proto=ESMTP helo=<cs-6f1b59997abb>
reject: RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]: 450 4.1.8 <0.shim222@cs-6f1b59997abb>: Sender address rejected: Domain not found; from=<0.shim222@cs-6f1b59997abb> to=<bravuraah95@metadsb.de> proto=ESMTP helo=<cs-6f1b59997abb>
warning: Illegal address syntax from host-77-81-154-140.nettelecom.ro[77.81.154.140] in MAIL command: <-mud_ku@cs-6f1b59997abb>
too many errors after RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]

So, das Ganze geht auch öfter :
warning: Connection rate limit exceeded: 66 from nat-dom5.aster.pl[212.76.37.224] for service smtp
warning: Connection rate limit exceeded: 67 from nat-dom5.aster.pl[212.76.37.224] for service smtp
warning: Connection rate limit exceeded: 68 from nat-dom5.aster.pl[212.76.37.224] for service smtp
warning: Connection rate limit exceeded: 69 from nat-dom5.aster.pl[212.76.37.224] for service smtp


Ein Lösungsansatz könnte sein, Fail2Ban ins mail.log schauen zu lassen und bei (Parameter) 3 mal reject 5xx und 450 an IPTables zu übergeben (Drop). Bantime steht bei mir auf einer Woche, das sollte auch denen mit der grösstmöglich anzunehmenden Langeweile die Motivation nehmen. Soweit die Idee, in gut 2h in Google habe ich Ansätze über "regex" gesehen, aber keine konkreten Schritte. Vielleicht habe ich auch nicht richtig gesucht oder _den einen Link_ übersehen. Kann mir da jemand einen Tipp geben wie ich die Fail2Ban dazu bekomme, sich der rejects 5xx und 450 anzunehmen?


Hmm.. ein Blick ins Log vom Apache ist schon hilfreich :
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 17 total children
[info] [client 123.125.64.38] (104)Connection reset by peer: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (32)Broken pipe: core_output_filter: writing data to the network
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 17 total children
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 17 total children
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 2 idle, and 18 total children
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 3 idle, and 21 total children
[info] [client 123.125.64.38] (104)Connection reset by peer: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (32)Broken pipe: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (104)Connection reset by peer: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (32)Broken pipe: core_output_filter: writing data to the network
[error] [client 67.19.254.98] File does not exist: /var/www/sharedip/phpMyAdmin
.. an die 30 Zeilen rausgenommen die auf ein leeres sharedip/wasauchimmer zugreifen wollen ..
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 0 idle, and 17 total children

Damit ergibt sich ein zweiter Ansatzpunkt (server seems busy). Denn in jail.conf sind Apache, -noscript und -overflow mit dem Wert 3 versehen. In diesem Fall hat es nicht gegriffen, um 12:43h und bei einer anderen IP schon: The IP 209.139.66.117 has just been banned by Fail2Ban after 4 attempts against apache-overflows.


Bleiben bei mir die Fragezeichen zu
a) rejects 5xx und 450 an IPTables
b) Apache info und error an IPTables (wenn sinnvoll. klar)


Sachdienliche Hinweise werden gerne angenommen.

Besten Dank im voraus,
CMO
Mitglied: MetaDSB
31.10.2009 um 19:58 Uhr
Nachtrag: nachdem es mir zu bunt geworden ist, habe ich dem Treiben ein Ende gesetzt. Vielleicht will der eine oder andere ja auch so oder ähnlich abstellen.

Hier mein Weg:

a) Die Länder von denen der Grossteil der Angriffsversuche über diverse Protokolle und Ports sowie Spamattacken ausgingen (Bsp. CN, RU,..), wurden kurzerhand komplett ausgeschlossen mit diesem Script für iptables: http://www.cyberciti.biz/faq/block-entier-country-using-iptables/

b) Postfix main.cf lässt keinen Spuk zu (Limits), liefert die 450, 504, 550, 554 Einträge und

c) fail2ban nimmt sich u.a. dieser Fälle an.

d) Postgrey für Greylisting und

e) diverse DNSBLs in Postfix main.cf werden eigentlich nicht mehr gebraucht, erledigen ggf. den Rest.

f) Filter für den Posteingang setzen (bisher kein false positive, aber man weiß ja nie)

g) Entspannen und geniessen.
Bitte warten ..
Ähnliche Inhalte
Suse
Fail2Ban konfigurieren
Frage von blackdreadheadSuse7 Kommentare

Moin, ich versuche mit zunehmender Verzweiflung auf einem Opensuse12.1 fail2ban zu installieren. Installation hat funktioniert. Dienst wird auch gestartet. ...

Ubuntu
Fail2Ban Moodle mit AD-Usern
gelöst Frage von CoreknabeUbuntu6 Kommentare

Moin, ich habe auf unserem Moodle-Server (Ubuntu 16.04) fail2ban installiert. SSH-Attacken kann ich damit auch blocken, das möchte ich ...

DNS
Server Proxy gegen DDoS
Frage von spcvltDNS12 Kommentare

Hallo, ich möchte gerne Server A vor einem Angriff schützen und Server B davor schalten. Ist es möglich ein ...

Erkennung und -Abwehr
DDoS auf Online-Shop?
gelöst Frage von runasserviceErkennung und -Abwehr5 Kommentare

Hallo, ab wann kann man eigentlich von einen DDoS-Angriff auf einen Online-Shop sprechen? Ein Online-Shop eines Kunden (sonst 20-30 ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...