[Eisfair] brute_force_blocking Logeinträge
Olaf Jaehrling
eisfair at ojaehrling.de
Di Okt 22 22:22:45 CEST 2013
Hallo Jürgen,
--- Original-Nachricht ---
Absender: Jürgen Pfautsch
Datum: 22.10.2013 21:08
> Hallo Olaf,
>
> ich habe mir heute mal das BFB-Log angesehen und gebe zu, daß ich das nicht
> verstehe.
>
> z.B.:
> Oct 10 23:24:47 eis BFB[24586]: 113.200.252.8 hat 6 mal MAIL versucht ...
> BLOCKING by brute_force_blocking
>
> Und dann kommt ca. 50 mal in den nächsten 6 Minuten ein Eintrag ähnlich
> folgendem:
> Oct 10 23:24:49 eis kernel: ATTACKER:IN=eth0 OUT=
> MAC=00:25:b3:50:06:94:00:1f:3f:35:54:be:08:00 SRC=113.200.252.8
> DST=192.168.0.9 LEN=58 TOS=0x00 PREC=0x00 TTL=53 ID=41091 DF PROTO=TCP
> SPT=46600 DPT=25 WINDOW=123 RES=0x00 ACK PSH URGP=0
>
> Hat jetzt BFB doch nicht geblockt oder was bedeutet diese letzte Meldung?
Doch, sonst würde iptables die Meldungen nicht generieren.
Offensichtlich versucht es der Angreifer trotzdem weiter, was bei einem
Script nicht ungewöhnlich ist. Deshalb gibt es im Setup die Variable
BFB_EXTENDED_LOG_TO_MESSAGELOG
Wenn diese auf "no" steht sollten die Einträge rapide abnehmen.
Gruß
Olaf
Mehr Informationen über die Mailingliste Eisfair