[Eisfair] bfb: wird geblockt oder nicht?

Rolf Bensch azubi at bensch-net.de
Mo Jul 24 09:13:53 CEST 2023 

Hallo Olaf,

Am 23.07.23 um 18:25 schrieb Olaf Jaehrling:
>> Verständnisfragen: im bfb-Logfile finde ich:
>>
>>     │attack from 79.110.49.229 to MAIL  on 23.07.2023 01:13:14
>>     │attack from 79.110.49.229 to MAIL  on 23.07.2023 01:15:01
>>     │attack from 79.110.49.229 to MAIL  on 23.07.2023 01:20:16
>>     │attack from 79.110.49.229 to MAIL  on 23.07.2023 01:25:09
>>
>> BFB is up-to-date
>>
>>     BFB_WAITTIME                         =  10
> 
> Weil die "10" nicht Minuten, sondern Sekunden bedeuten.

Ups, okay, das war meine Stolperfalle. Könntest Du das bitte im Help und Doku so eintragen?

> 
>>     BFB_ATTACK_TIMES                     =  3
>>     BFB_MAX_BLOCKING_TIME_MINUTES        =  90
>>
>> Die Fragen:
>> - wieso scannt bfb öfter als im 10-Minuten-Takt?
>> - wieso erkennt bfb eine gerade erkannte IP nochmals als "attack", 
> 
> Nein, BFB erkennt nur das die Attacke stattfand. Geblockt sollte es nur einmal werden.
> Im syslog sollte dazu ggf auch ein Eintrag stehen.
> Sollte die IP Adresse weiterhin den Mailserver angreifen wäre das nicht gut, denn dann hätte BFB nicht geblockt.

   # grep 79.110.49.229 /var/log/messages
   Jul 23 01:13:18 eis64-3 BFB[32043]: address 79.110.49.229 blocked after 3 attempt to abuse MAIL
   Jul 23 01:13:19 eis64-3 kernel: ATTACKER:IN=enx525400b7e655 OUT= MAC=52:54:00:b7:e6:55:44:4e:6d:d8:d0:2a:08:00 SRC=79.110.49.229 DST=192.168.0.207 LEN=69 TOS=0x00 PREC=0x00   TTL=119 ID=35081 DF PROTO=TCP SPT=60174 DPT=25 WINDOW=1026 RES=0x00 ACK PSH URGP=0
   Jul 23 01:15:00 eis64-3 BFB[7370]: 79.110.49.229 wieder freigeschaltet.
   Jul 23 01:15:04 eis64-3 BFB[8193]: address 79.110.49.229 blocked after 3 attempt to abuse MAIL
   Jul 23 01:15:05 eis64-3 kernel: ATTACKER:IN=enx525400b7e655 OUT= MAC=52:54:00:b7:e6:55:44:4e:6d:d8:d0:2a:08:00 SRC=79.110.49.229 DST=192.168.0.207 LEN=52 TOS=0x02 PREC=0x00 TTL=119 ID=35131 DF PROTO=TCP SPT=62827 DPT=25 WINDOW=64240 RES=0x00 CWR ECE SYN URGP=0
   Jul 23 01:20:00 eis64-3 BFB[31136]: 79.110.49.229 wieder freigeschaltet.
   Jul 23 01:20:19 eis64-3 BFB[376]: address 79.110.49.229 blocked after 4 attempt to abuse MAIL
   Jul 23 01:20:20 eis64-3 kernel: ATTACKER:IN=enx525400b7e655 OUT= MAC=52:54:00:b7:e6:55:44:4e:6d:d8:d0:2a:08:00 SRC=79.110.49.229 DST=192.168.0.207 LEN=52 TOS=0x02 PREC=0x00 TTL=119 ID=35194 DF PROTO=TCP SPT=54118 DPT=25 WINDOW=64240 RES=0x00 CWR ECE SYN URGP=0
   Jul 23 01:25:00 eis64-3 BFB[23795]: 79.110.49.229 wieder freigeschaltet.
   Jul 23 01:25:11 eis64-3 BFB[24578]: address 79.110.49.229 blocked after 5 attempt to abuse MAIL
   Jul 23 01:30:00 eis64-3 BFB[15943]: 79.110.49.229 wieder freigeschaltet.

Weshalb wird hier "wieder freigeschaltet"? Habe in BFB_BLOCK_AGGRESSIVE_IP4 einen Wert "79.110.49.202/32" stehen, das sollte o.g. IP aber nicht tangieren. Andere Werte für "wieder freigeschaltet" entsprechen BFB_MAX_BLOCKING_TIME_MINUTES.

B.t.w.: weshalb ist BFB_MAX_BLOCKING_TIME_MINUTES auf "10 - 99" Minuten begrenzt? Ich hätte kein Problem damit hier einen Wert von 720 o.ä. einzutragen.

Grüße

Rolf

Mehr Informationen über die Mailingliste Eisfair