DDOS auf Postfix und Apache (noch) an Fail2Ban vorbei? Brauch nen Tipp..
Hallo! Gelegentlich bin ich gelangweilten Typen dankbar, bringen Sie mich doch beim Durchforsten der Logfiles auf neue Ideen.
Die Situation:
Grafik von dieser Woche (Postfix/Munin), Werte pro Sekunde:
1 + 7: Normal
2: Oops!
3: Ein Ausreisser wird angezeigt
4 + 5 + 6: Interpretiere ich als Nachwehen
Auffälligkeiten (Auszüge) aus Syslog:
reject: RCPT from unknown[95.134.173.73]: 450 4.1.8 <xoi@philka>: Sender address rejected: Domain not found; from=<xoi@philka> to=<abaloneb37@metadsb.de> proto=ESMTP helo=<philka>
reject: RCPT from unknown[95.134.173.73]: 450 4.1.8 <xoi@philka>: Sender address rejected: Domain not found; from=<xoi@philka> to=<abnormalitieshky446@metadsb.de> proto=ESMTP helo=<philka>
... x-Mal ..
reject: RCPT from unknown[95.134.173.73]: 450 4.1.8 <xoi@philka>: Sender address rejected: Domain not found; from=<xoi@philka> to=<activitiesn53@metadsb.de> proto=ESMTP helo=<philka>
warning: Illegal address syntax from unknown[95.134.173.73] in MAIL command: <---a.centofanti@philka>
.. viele einträge wie unten ...
reject: RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]: 450 4.1.8 <0.shim222@cs-6f1b59997abb>: Sender address rejected: Domain not found; from=<0.shim222@cs-6f1b59997abb> to=<brainstormed@metadsb.de> proto=ESMTP helo=<cs-6f1b59997abb>
reject: RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]: 450 4.1.8 <0.shim222@cs-6f1b59997abb>: Sender address rejected: Domain not found; from=<0.shim222@cs-6f1b59997abb> to=<braquem0@metadsb.de> proto=ESMTP helo=<cs-6f1b59997abb>
reject: RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]: 450 4.1.8 <0.shim222@cs-6f1b59997abb>: Sender address rejected: Domain not found; from=<0.shim222@cs-6f1b59997abb> to=<bravuraah95@metadsb.de> proto=ESMTP helo=<cs-6f1b59997abb>
warning: Illegal address syntax from host-77-81-154-140.nettelecom.ro[77.81.154.140] in MAIL command: <-mud_ku@cs-6f1b59997abb>
too many errors after RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]
So, das Ganze geht auch öfter :
warning: Connection rate limit exceeded: 66 from nat-dom5.aster.pl[212.76.37.224] for service smtp
warning: Connection rate limit exceeded: 67 from nat-dom5.aster.pl[212.76.37.224] for service smtp
warning: Connection rate limit exceeded: 68 from nat-dom5.aster.pl[212.76.37.224] for service smtp
warning: Connection rate limit exceeded: 69 from nat-dom5.aster.pl[212.76.37.224] for service smtp
Ein Lösungsansatz könnte sein, Fail2Ban ins mail.log schauen zu lassen und bei (Parameter) 3 mal reject 5xx und 450 an IPTables zu übergeben (Drop). Bantime steht bei mir auf einer Woche, das sollte auch denen mit der grösstmöglich anzunehmenden Langeweile die Motivation nehmen. Soweit die Idee, in gut 2h in Google habe ich Ansätze über "regex" gesehen, aber keine konkreten Schritte. Vielleicht habe ich auch nicht richtig gesucht oder _den einen Link_ übersehen. Kann mir da jemand einen Tipp geben wie ich die Fail2Ban dazu bekomme, sich der rejects 5xx und 450 anzunehmen?
Hmm.. ein Blick ins Log vom Apache ist schon hilfreich :
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 17 total children
[info] [client 123.125.64.38] (104)Connection reset by peer: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (32)Broken pipe: core_output_filter: writing data to the network
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 17 total children
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 17 total children
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 2 idle, and 18 total children
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 3 idle, and 21 total children
[info] [client 123.125.64.38] (104)Connection reset by peer: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (32)Broken pipe: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (104)Connection reset by peer: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (32)Broken pipe: core_output_filter: writing data to the network
[error] [client 67.19.254.98] File does not exist: /var/www/sharedip/phpMyAdmin
.. an die 30 Zeilen rausgenommen die auf ein leeres sharedip/wasauchimmer zugreifen wollen ..
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 0 idle, and 17 total children
Damit ergibt sich ein zweiter Ansatzpunkt (server seems busy). Denn in jail.conf sind Apache, -noscript und -overflow mit dem Wert 3 versehen. In diesem Fall hat es nicht gegriffen, um 12:43h und bei einer anderen IP schon: The IP 209.139.66.117 has just been banned by Fail2Ban after 4 attempts against apache-overflows.
Bleiben bei mir die Fragezeichen zu
a) rejects 5xx und 450 an IPTables
b) Apache info und error an IPTables (wenn sinnvoll. klar)
Sachdienliche Hinweise werden gerne angenommen.
Besten Dank im voraus,
CMO
Die Situation:
Grafik von dieser Woche (Postfix/Munin), Werte pro Sekunde:
1 + 7: Normal
2: Oops!
3: Ein Ausreisser wird angezeigt
4 + 5 + 6: Interpretiere ich als Nachwehen
Auffälligkeiten (Auszüge) aus Syslog:
reject: RCPT from unknown[95.134.173.73]: 450 4.1.8 <xoi@philka>: Sender address rejected: Domain not found; from=<xoi@philka> to=<abaloneb37@metadsb.de> proto=ESMTP helo=<philka>
reject: RCPT from unknown[95.134.173.73]: 450 4.1.8 <xoi@philka>: Sender address rejected: Domain not found; from=<xoi@philka> to=<abnormalitieshky446@metadsb.de> proto=ESMTP helo=<philka>
... x-Mal ..
reject: RCPT from unknown[95.134.173.73]: 450 4.1.8 <xoi@philka>: Sender address rejected: Domain not found; from=<xoi@philka> to=<activitiesn53@metadsb.de> proto=ESMTP helo=<philka>
warning: Illegal address syntax from unknown[95.134.173.73] in MAIL command: <---a.centofanti@philka>
.. viele einträge wie unten ...
reject: RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]: 450 4.1.8 <0.shim222@cs-6f1b59997abb>: Sender address rejected: Domain not found; from=<0.shim222@cs-6f1b59997abb> to=<brainstormed@metadsb.de> proto=ESMTP helo=<cs-6f1b59997abb>
reject: RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]: 450 4.1.8 <0.shim222@cs-6f1b59997abb>: Sender address rejected: Domain not found; from=<0.shim222@cs-6f1b59997abb> to=<braquem0@metadsb.de> proto=ESMTP helo=<cs-6f1b59997abb>
reject: RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]: 450 4.1.8 <0.shim222@cs-6f1b59997abb>: Sender address rejected: Domain not found; from=<0.shim222@cs-6f1b59997abb> to=<bravuraah95@metadsb.de> proto=ESMTP helo=<cs-6f1b59997abb>
warning: Illegal address syntax from host-77-81-154-140.nettelecom.ro[77.81.154.140] in MAIL command: <-mud_ku@cs-6f1b59997abb>
too many errors after RCPT from host-77-81-154-140.nettelecom.ro[77.81.154.140]
So, das Ganze geht auch öfter :
warning: Connection rate limit exceeded: 66 from nat-dom5.aster.pl[212.76.37.224] for service smtp
warning: Connection rate limit exceeded: 67 from nat-dom5.aster.pl[212.76.37.224] for service smtp
warning: Connection rate limit exceeded: 68 from nat-dom5.aster.pl[212.76.37.224] for service smtp
warning: Connection rate limit exceeded: 69 from nat-dom5.aster.pl[212.76.37.224] for service smtp
Ein Lösungsansatz könnte sein, Fail2Ban ins mail.log schauen zu lassen und bei (Parameter) 3 mal reject 5xx und 450 an IPTables zu übergeben (Drop). Bantime steht bei mir auf einer Woche, das sollte auch denen mit der grösstmöglich anzunehmenden Langeweile die Motivation nehmen. Soweit die Idee, in gut 2h in Google habe ich Ansätze über "regex" gesehen, aber keine konkreten Schritte. Vielleicht habe ich auch nicht richtig gesucht oder _den einen Link_ übersehen. Kann mir da jemand einen Tipp geben wie ich die Fail2Ban dazu bekomme, sich der rejects 5xx und 450 anzunehmen?
Hmm.. ein Blick ins Log vom Apache ist schon hilfreich :
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 17 total children
[info] [client 123.125.64.38] (104)Connection reset by peer: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (32)Broken pipe: core_output_filter: writing data to the network
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 17 total children
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 4 idle, and 17 total children
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 2 idle, and 18 total children
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 3 idle, and 21 total children
[info] [client 123.125.64.38] (104)Connection reset by peer: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (32)Broken pipe: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (104)Connection reset by peer: core_output_filter: writing data to the network
[info] [client 123.125.64.38] (32)Broken pipe: core_output_filter: writing data to the network
[error] [client 67.19.254.98] File does not exist: /var/www/sharedip/phpMyAdmin
.. an die 30 Zeilen rausgenommen die auf ein leeres sharedip/wasauchimmer zugreifen wollen ..
[info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 0 idle, and 17 total children
Damit ergibt sich ein zweiter Ansatzpunkt (server seems busy). Denn in jail.conf sind Apache, -noscript und -overflow mit dem Wert 3 versehen. In diesem Fall hat es nicht gegriffen, um 12:43h und bei einer anderen IP schon: The IP 209.139.66.117 has just been banned by Fail2Ban after 4 attempts against apache-overflows.
Bleiben bei mir die Fragezeichen zu
a) rejects 5xx und 450 an IPTables
b) Apache info und error an IPTables (wenn sinnvoll. klar)
Sachdienliche Hinweise werden gerne angenommen.
Besten Dank im voraus,
CMO
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 119059
Url: https://administrator.de/contentid/119059
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
1 Kommentar