5
Mögliche BF Attacke gegen meinen Mail Server
Hallo zusammen,
ich habe einen eigenen Mailserver im Netz stehen. Darauf läuft ein CentOS 6 mit dovecot/fetchmail.
Beim Lesen diverser logs stoße ich auf die /var/log/secure
und mir schwant da eine bruteforce-attacke von unseren gelben Freunden
Im 5 Minutentakt wird hier ein login über ssh mit den Nutzer root versucht ...
das ganze von der Adresse ... 61.175.212.62 ... und da hinter steht die www.cn12333.gov.cn
Da root bei mir nicht gelistet ist als AllowedUser, kommen dann entsprechende Fehler
hier mal das Log das sich alle 5 Minuten wiederholt:
Aug 19 14:19:08 meinserver sshd[pid]: user root from 61.175.212.62 not allowed because not listed in AllowUsers
Aug 19 14:19:08 meinserver sshd[pid]: input_userauth_request: invalid user root
Aug 19 14:19:08 meinserver sshd[pid]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.175.212.62 user=root
Aug 19 14:19:08 meinserver sshd[pid]: Failed password for invalid user root from 61.175.212.62 port 13742 ssh2
Aug 19 14:19:08 meinserver sshd[pid]: Received disconnect from 61.175.212.62: 11: Bye Bye
Das Log besteht zu 99% aus solchen Einträgen, die IP wechselt manchmal, aber nie am selben Tag (scheinen dort auch so eine Provider-DynIP zu haben)
Beispiel: 114.135.15.242 ... landet auch im Land der aufgehenden Sonne
Muß ich mir jetzt noch irgendwelche Gedanken machen, soll ich Firewall mäßig vielleicht gleich noch den IP Bereich sperren ?
Danke für Antworten/Hinweise.
ich habe einen eigenen Mailserver im Netz stehen. Darauf läuft ein CentOS 6 mit dovecot/fetchmail.
Beim Lesen diverser logs stoße ich auf die /var/log/secure
und mir schwant da eine bruteforce-attacke von unseren gelben Freunden
Im 5 Minutentakt wird hier ein login über ssh mit den Nutzer root versucht ...
das ganze von der Adresse ... 61.175.212.62 ... und da hinter steht die www.cn12333.gov.cn
Da root bei mir nicht gelistet ist als AllowedUser, kommen dann entsprechende Fehler
hier mal das Log das sich alle 5 Minuten wiederholt:
Aug 19 14:19:08 meinserver sshd[pid]: user root from 61.175.212.62 not allowed because not listed in AllowUsers
Aug 19 14:19:08 meinserver sshd[pid]: input_userauth_request: invalid user root
Aug 19 14:19:08 meinserver sshd[pid]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.175.212.62 user=root
Aug 19 14:19:08 meinserver sshd[pid]: Failed password for invalid user root from 61.175.212.62 port 13742 ssh2
Aug 19 14:19:08 meinserver sshd[pid]: Received disconnect from 61.175.212.62: 11: Bye Bye
Das Log besteht zu 99% aus solchen Einträgen, die IP wechselt manchmal, aber nie am selben Tag (scheinen dort auch so eine Provider-DynIP zu haben)
Beispiel: 114.135.15.242 ... landet auch im Land der aufgehenden Sonne
Muß ich mir jetzt noch irgendwelche Gedanken machen, soll ich Firewall mäßig vielleicht gleich noch den IP Bereich sperren ?
Danke für Antworten/Hinweise.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 214649
Url: https://administrator.de/contentid/214649
Printed on: April 24, 2024 at 10:04 o'clock
5 Comments
Latest comment
Hallo,
das ist Standard grundrauschen..... Zuerst werden in einem IP-Bereich die Services gescannt->
hier also ssh (port 22) danach automatisierter Scripkiddie###dreck abgelassen....
Dadurch das root bei Dir schonmal nicht darf wird es auch nichts mit dem Versuch aus yellowcountry.
Ich hab hier bei 2 Servern nen fail2ban laufen.
Gruss
Nachtrag:
Du kannst den ssh Zugang ja via Firewall nur aus einem bestimmten IP-Bereich zulassen.
das ist Standard grundrauschen..... Zuerst werden in einem IP-Bereich die Services gescannt->
hier also ssh (port 22) danach automatisierter Scripkiddie###dreck abgelassen....
Dadurch das root bei Dir schonmal nicht darf wird es auch nichts mit dem Versuch aus yellowcountry.
Ich hab hier bei 2 Servern nen fail2ban laufen.
Gruss
Nachtrag:
Du kannst den ssh Zugang ja via Firewall nur aus einem bestimmten IP-Bereich zulassen.
Und die passenden iptables-Regeln dazu findet man in meinem Blog unter der Kategorie: Blacklists
Lonesome Walker
Lonesome Walker
Hey LW
versteh den Link nicht dazu...
und die BL nuetzt nichts wenn Du Kunden aus dem IP Bereich hast.
Ausserdem sind die Iptables Regeln 0/8 15 nichts was wirklich hilft.
Gruss
versteh den Link nicht dazu...
und die BL nuetzt nichts wenn Du Kunden aus dem IP Bereich hast.
Ausserdem sind die Iptables Regeln 0/8 15 nichts was wirklich hilft.
Gruss
Tja, dann ist dieses Wissen nicht für Dich bestimmt.
und die BL nuetzt nichts wenn Du Kunden aus dem IP Bereich hast.
Leaseweb??? Und nur die wenigsten Firmen in DE haben asiatische Kunden.
Die müssen dann halt Abstriche machen.
Ausserdem sind die Iptables Regeln 0/8 15 nichts was wirklich hilft.
So so, ah ja...
Lonesome Walker
Ah super , danke dir
dann hau ich den ip Bereich weg,
die sollen da unten gar nicht wissen das es den Server hier gibt
Stellt euch mal eine Welt ohne dieses Grundrauschen vor, das inet wäre min. 1/3 schneller
dann hau ich den ip Bereich weg,
die sollen da unten gar nicht wissen das es den Server hier gibt
Stellt euch mal eine Welt ohne dieses Grundrauschen vor, das inet wäre min. 1/3 schneller
