Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mögliche BF Attacke gegen meinen Mail Server

Frage Sicherheit Erkennung und -Abwehr

Mitglied: greatmgm

greatmgm (Level 2) - Jetzt verbinden

19.08.2013 um 14:09 Uhr, 1983 Aufrufe, 5 Kommentare

Hallo zusammen,

ich habe einen eigenen Mailserver im Netz stehen. Darauf läuft ein CentOS 6 mit dovecot/fetchmail.
Beim Lesen diverser logs stoße ich auf die /var/log/secure

und mir schwant da eine bruteforce-attacke von unseren gelben Freunden
Im 5 Minutentakt wird hier ein login über ssh mit den Nutzer root versucht ...

das ganze von der Adresse ... 61.175.212.62 ... und da hinter steht die www.cn12333.gov.cn


Da root bei mir nicht gelistet ist als AllowedUser, kommen dann entsprechende Fehler

hier mal das Log das sich alle 5 Minuten wiederholt:

Aug 19 14:19:08 meinserver sshd[pid]: user root from 61.175.212.62 not allowed because not listed in AllowUsers
Aug 19 14:19:08 meinserver sshd[pid]: input_userauth_request: invalid user root
Aug 19 14:19:08 meinserver sshd[pid]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.175.212.62 user=root
Aug 19 14:19:08 meinserver sshd[pid]: Failed password for invalid user root from 61.175.212.62 port 13742 ssh2
Aug 19 14:19:08 meinserver sshd[pid]: Received disconnect from 61.175.212.62: 11: Bye Bye


Das Log besteht zu 99% aus solchen Einträgen, die IP wechselt manchmal, aber nie am selben Tag (scheinen dort auch so eine Provider-DynIP zu haben)
Beispiel: 114.135.15.242 ... landet auch im Land der aufgehenden Sonne

Muß ich mir jetzt noch irgendwelche Gedanken machen, soll ich Firewall mäßig vielleicht gleich noch den IP Bereich sperren ?

Danke für Antworten/Hinweise.









Mitglied: Alchimedes
19.08.2013, aktualisiert um 16:47 Uhr
Hallo,


das ist Standard grundrauschen..... Zuerst werden in einem IP-Bereich die Services gescannt->
hier also ssh (port 22) danach automatisierter Scripkiddiescheissdreck abgelassen....
Dadurch das root bei Dir schonmal nicht darf wird es auch nichts mit dem Versuch aus yellowcountry.

Ich hab hier bei 2 Servern nen fail2ban laufen.

Gruss

Nachtrag:

Du kannst den ssh Zugang ja via Firewall nur aus einem bestimmten IP-Bereich zulassen.
Bitte warten ..
Mitglied: 16568
19.08.2013, aktualisiert um 18:24 Uhr
Und die passenden iptables-Regeln dazu findet man in meinem Blog unter der Kategorie: Blacklists


Lonesome Walker
Bitte warten ..
Mitglied: Alchimedes
19.08.2013, aktualisiert um 23:15 Uhr
Hey LW

versteh den Link nicht dazu...
und die BL nuetzt nichts wenn Du Kunden aus dem IP Bereich hast.

Ausserdem sind die Iptables Regeln 0/8 15 nichts was wirklich hilft.

Gruss
Bitte warten ..
Mitglied: 16568
20.08.2013 um 06:50 Uhr
Zitat von Alchimedes:
versteh den Link nicht dazu...

Tja, dann ist dieses Wissen nicht für Dich bestimmt.

und die BL nuetzt nichts wenn Du Kunden aus dem IP Bereich hast.

Leaseweb??? Und nur die wenigsten Firmen in DE haben asiatische Kunden.
Die müssen dann halt Abstriche machen.

Ausserdem sind die Iptables Regeln 0/8 15 nichts was wirklich hilft.

So so, ah ja...


Lonesome Walker
Bitte warten ..
Mitglied: greatmgm
20.08.2013 um 08:01 Uhr
Ah super , danke dir

dann hau ich den ip Bereich weg,
die sollen da unten gar nicht wissen das es den Server hier gibt
Stellt euch mal eine Welt ohne dieses Grundrauschen vor, das inet wäre min. 1/3 schneller
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Ransomware-Attacke - aber welche?
gelöst Frage von textilforscherViren und Trojaner10 Kommentare

Hallo Gemeinde, wir sind heute Mittag in den "Genuss" einer Ransomware-Attacke gekommen, leider finde ich bisher keinen Anhaltspunkt, um ...

Verschlüsselung & Zertifikate
TLS sicher vor Replay-Attacken?
gelöst Frage von MimetypeVerschlüsselung & Zertifikate1 Kommentar

Hallo, ich habe mir gerade mal etwas TLS angesehen. Die Erzeugung/Austausch des Schlüssels erfolgt ja sicher, sodass es für ...

Router & Routing
Sif: warning probably an attack
Frage von Maik-SRouter & Routing2 Kommentare

Hallo, seit ein paar Wochen stelle ich unregelmäßig fest, dass meine Verbindung zum Internet unterbrochen wird. Nach wenigen Minuten ...

Exchange Server
Mail Versand zu T-Online nicht möglich
Frage von HeinrichMExchange Server13 Kommentare

Hallo zusammen, ich habe hier ein Problem, wo ich momentan nicht weiter komme. Es geht, wie oben schon genannt ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 6 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 11 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 11 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 23 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Windows Server
Remotesteuerung der Sitzung (Kennung XX) fehlgeschlagen
gelöst Frage von Stefan91Windows Server14 Kommentare

Hallo Zusammen, seit kurzem bekomme ich oben genannte Fehlermeldung, wenn ich versuche eine Remotesitzung über den Taskmanager fernzusteuern (Rechtsklick ...