[Eisfair] brute_force_blocking blockiert trotz BFB_FREE_IP ?
Matthias Prill
m.prill at gmx.de
Fr Sep 22 08:28:44 CEST 2017
Am 20.09.2017 um 19:46 schrieb Olaf Jaehrling:
> Hallo Matthias,
>
>
> Matthias Prill schrieb am 20.09.2017 um 10:52:
>> Hallo,
>>
>> ich habe brute_force_blocking im Einsatz und werde trotz Eintrag in
>> "BFB_FREE_IP" geblockt?
>>
>> Es stehen zwei Adressen mit Leerzeichen getrennt im entsprechenden Eintrag:
>
> Was genau hast du da drin stehen und was steht in dem entsprechenden
> Logfile (/var/log/messages oder /var/www/log/xxx_access/error_log usw)?
>
> Gruß
>
> Olaf
>
Okay, ich kann das Verhalten nachstellen und kann es auch schon ein
wenig eingrenzen.
Im Eintrag BFB_FREE_IP habe ich mit Leerzeichen getrennt genau 3 IP
Adressen.
BFB_FREE_IP='127.0.0.1 62.a.b.c 93.x.y.z'
Von beiden Adressen habe ich mir via Thuinderbird die Einstellungen für
ein email Konto suchen lassen.
Ergebnis: die 62er IP wird geblockt, die 93er nicht!
Logauszüge für die Blockierung der 62er:
/var/spool/exim/logmainlog:
2017-09-22 07:16:53 no host name found for IP address 62.a.b.c
2017-09-22 07:16:53 no host name found for IP address 62.a.b.c
2017-09-22 07:16:53 no host name found for IP address 62.a.b.c
2017-09-22 07:16:53 no host name found for IP address 62.a.b.c
2017-09-22 07:16:53 no host name found for IP address 62.a.b.c
2017-09-22 07:16:53 no host name found for IP address 62.a.b.c
2017-09-22 07:16:53 no host name found for IP address 62.a.b.c
2017-09-22 07:16:53 no host name found for IP address 62.a.b.c
2017-09-22 07:16:55 1dvGKd-0004Uf-0j <= root at localhost U=root P=local S=2784
2017-09-22 07:16:55 1dvGKd-0004Uf-0j [212.227.17.5] SSL verify error:
depth=2 error=self signed certificate in certificate chain
cert=/C=DE/O=Deutsche Telekom AG/O
U=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
2017-09-22 07:16:55 1dvGKd-0004Uf-0j => m.prill at gmx.de <root at localhost>
R=dnslookup T=remote_smtp H=mx01.emig.gmx.net [212.227.17.5]
X=TLSv1.2:ECDHE-RSA-AES128-GCM
-SHA256:128 CV=no DN="/C=DE/O=1&1 Mail & Media
GmbH/ST=Rhineland-Palatinate/L=Montabaur/CN=mx.gmx.net" C="250 Requested
mail action okay, completed: id=1Mco3O-1dMT
kD45ZK-00ZIa7"
2017-09-22 07:16:55 1dvGKd-0004Uf-0j Completed
2017-09-22 07:17:18 no host name found for IP address 62.a.b.c
2017-09-22 07:17:18 no host name found for IP address 62.a.b.c
2017-09-22 07:17:18 no host name found for IP address 62.a.b.c
2017-09-22 07:17:18 no host name found for IP address 62.a.b.c
2017-09-22 07:22:18 SMTP command timeout on connection from [62.a.b.c]
/var/log/brute_force_blocking/brute_force_blocking.log:
#################################################################
attack from 62.a.b.c to MAIL on 22.09.2017 07:16:51
/var/log/messages:
Sep 22 07:16:23 eis imapd[16451]: imap service init from 62.159.95.138
Sep 22 07:16:23 eis imapd[16452]: imap service init from 62.a.b.c
Sep 22 07:16:23 eis imapd[16462]: imap service init from 62.a.b.c
Sep 22 07:16:23 eis imapd[16457]: imap service init from 62.a.b.c
Sep 22 07:16:23 eis imapd[16452]: Logout user=??? host=[62.a.b.c]
Sep 22 07:16:23 eis imapd[16451]: Logout user=??? host=[62.a.b.c]
Sep 22 07:16:23 eis imapd[16462]: Logout user=??? host=[62.a.b.c]
Sep 22 07:16:23 eis imapd[16457]: Logout user=??? host=[62.a.b.c]
Sep 22 07:16:49 eis imapd[17031]: imap service init from 62.a.b.c
Sep 22 07:16:49 eis imapd[17030]: imap service init from 62.a.b.c
Sep 22 07:16:49 eis imapd[17031]: Logout user=??? host=[62.a.b.c]
Sep 22 07:16:49 eis imapd[17030]: Logout user=??? host=[62.a.b.c]
Sep 22 07:16:54 eis BFB[17266]: address 62.a.b.c blocked after 6 attempt
to abuse MAIL
Sep 22 07:16:59 eis kernel: ATTACKER:IN=net0 OUT=
MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=62.a.b.c
DST=172.31.1.100 LEN=40 TOS=0x00 PREC=0x00 TTL=11
5 ID=23164 DF PROTO=TCP SPT=50567 DPT=25 WINDOW=257 RES=0x00 ACK FIN URGP=0
Gruß
Matthias
Mehr Informationen über die Mailingliste Eisfair