[Eisfair] [E64]: bfb "No host name found" wird nicht blockiert.
Rolf Bensch
azubi at bensch-net.de
Mo Okt 9 09:04:41 CEST 2023
Hallo Olaf,
Am 08.10.23 um 20:18 schrieb Olaf Jaehrling:
> Hallo Rolf,
>
> Rolf Bensch schrieb am 08.10.23 um 14:17:
>> Hallo zusammen,
>>
>> aktuelle Angriffe:
>> mail # grep -e 'no host name found' -e exim mainlog | tail -n 15
>> 2023-10-08 11:23:41 no host name found for IP address 45.81.39.220
>> 2023-10-08 11:57:23 no host name found for IP address 45.81.39.220
>> 2023-10-08 13:46:22 no host name found for IP address 91.223.169.88
>> 2023-10-08 13:49:45 no host name found for IP address 45.81.39.220
>>
>> ... werden nicht blockiert. BFB wurde zwischenzeitlich auch neu gestartet:
>> Show Status:
>>
>> │Oct 08 13:57:46 mail initfile[13662]: /usr/bin/in.grep: warning: stray \ before :
>> │Oct 08 13:57:46 mail initfile[13662]: /usr/bin/in.grep: warning: stray \ before :
>> │Oct 08 13:57:46 mail initfile[13662]: /usr/bin/in.grep: warning: stray \ before :
>> │Press ENTER to continue
>
> Welche BFB-Version hast du? Ich frage nur weil ich der Meinung war ich hätte alle \ entfernt.
das ist Version 2.2.2. Die Situation ist heute Morgen identisch:
mail # setup
blocked ip addresses
PROACTIVE-Block
BFB-Block
217.255.34.64
Press ENTER to continue
Enter ip address
45.81.39.220
Insgesamt:
45.81.39.220 Anzahl: 6 Last used: 2023-10-07 reason: atma
aktuell geblockt:
45.81.39.220 Anzahl: 1 Last used: 2023-10-07 reason: block
>> 45.81.39.220 Anzahl: 6 Last used: 2023-10-07 reason: atma
>> aktuell geblockt:
>> 45.81.39.220 Anzahl: 1 Last used: 2023-10-07 reason: block
>> Press ENTER to continue
>
> OK, hier sagt BFB die IP wäre geblockt. Dann die Frage zu klären warum die IP noch durchkommt.
>
> Schau mal bitte, ob die IP wirklich geblockt ist
> nft list set filter BFBTIMELIST | grep 45.81.39.220
> nft list set ip filter BFBLONG | grep 45.81.39.220
>
>
> Wenn beide Ausgaben leer sind, dann ich da was schief beim Blocken gegangen.
>
> Dann bitte
> /usr/local/brute_force_blocking/bfb-db.sh dellong 45.81.39.220
>
> Nachdem du mit Enter bestätigt hast bitte verifizieren mit
> /usr/local/brute_force_blocking/bfb-db.sh show 45.81.39.220
>
Press ENTER to continue
mail # nft list set filter BFBTIMELIST | grep 45.81.39.220
mail # nft list set ip filter BFBLONG | grep 45.81.39.220
mail # /usr/local/brute_force_blocking/bfb-db.sh dellong 45.81.39.220
45.81.39.220 wurde freigegeben.
Press ENTER to continue
mail # /usr/local/brute_force_blocking/bfb-db.sh show 45.81.39.220
mail #
BFBTIMELIST enthält derzeit nur eine Adresse die am Morgen korrekt erkannt wurde, BFBLONG ist jetzt leer.
> Da sollte dann keine Ausgabe kommen.
> Beim nächten mal sollte BFB dann auch blocken.
Bei der nächsten Attacke ist BFB direkt angesprungen, 45.81.39.220 wird jetzt blockiert.
Gehst Du damit auf Ursachenforschung? Kann ich etwas dazu beitragen?
Vielen Dank
Grüße
Rolf
Mehr Informationen über die Mailingliste Eisfair