[Eisfair] bfb - Verständnisfrage

Uwe Kunze u.kunze.sdh at t-online.de
So Mär 11 20:08:01 CET 2018 

Hallo NG, hallo Olaf,

ich hätte (aus gegebenem Anlass) eine Verständnisfrage zu 
brute_force_blocking:

Am Abend meldet bfb per Mail einen Angriffsversuch auf ssh:

eis detected an attack from 185.143.223.135 to SSH  on 11.03.2018 18:14:19

Ich schaue (erst eine gute Stunde später) in /var/log/messages rein:

Mar 11 18:12:19 eis sshd[30154]:  Did not receive identification  string 
from 185.143.223.135
Mar 11 18:12:19 eis sshd[30161]:  Connection closed by 185.143.223.135
Mar 11 18:12:21 eis sshd[30174]:  Invalid user RPM from 185.143.223.135
Mar 11 18:12:21 eis sshd[30174]:  input_userauth_request: invalid user RPM
Mar 11 18:12:21 eis sshd[30174]:  Failed none for invalid user RPM from 
185.143.223.135 port 63922 ssh2
Mar 11 18:12:32 eis sshd[30174]:  Connection closed by 185.143.223.135

Der Angriff ging also bereits um 18.12.19, also 2 Minuten vorher los.

JETZT aber meine Frage:

Der Angriff geht weiter bis

Mar 11 18:37:45 eis sshd[31978]:  Invalid user uploader from 185.143.223.135
Mar 11 18:37:45 eis sshd[31978]:  input_userauth_request: invalid user 
uploader
Mar 11 18:37:45 eis sshd[31978]:  Failed none for invalid user uploader 
from 185.143.223.135 port 62218 ssh2
Mar 11 18:37:45 eis sshd[31978]:  Connection closed by 185.143.223.135

also noch etwa weiter 20 Minuten.

Im bfb-eisfair-Menü steht unter

10. Display blocked ip adresses

blocked ip addresses

ATMA.SE-Block
iptables: No chain/target/match by that name.
BFB-BLOCK
185.143.223.135


bfb hat also die IP geblockt ... aber warum gehen die Angriffe noch 20 
Minuten nach der bfb-Meldung weiter ?

Ich dachte, der Angreifer hat nach dem Blocking keinerlei Zugriff mehr 
auf die (öffentliche) IP des eis ?


Ich habe Port-Scans schon mehrmals mit einem (öffentlichen) 
Netzwerkscanner gemacht (z.B. mit diesem hier: 
https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1).

Sobald bfb angesprungen ist, kann der Scanner (scheinbar) nicht mehr den 
eis erreichen, alle Ports werden als "closed" gemeldet (obwohl da auch 
offene dabei sind).

Warum also kann der Angriff auf ssh (siehe oben) noch 20 Minuten 
weiterlaufen ? Habe ich da was falsch konfiguriert ... oder das Prinzip 
von bfb nicht wirklich verstanden ?

Danke, Grüße und einen schönen restlichen Sonntag-Abend noch.
Uwe

Mehr Informationen über die Mailingliste Eisfair