[Eisfair] bfb - Verständnisfrage
Olaf Jaehrling
eisfair at ojaehrling.de
So Mär 11 23:20:24 CET 2018
Hallo Uwe,
Uwe Kunze schrieb am 11.03.2018 um 20:08:
> Hallo NG, hallo Olaf,
>
> ich hätte (aus gegebenem Anlass) eine Verständnisfrage zu
> brute_force_blocking:
>
> Am Abend meldet bfb per Mail einen Angriffsversuch auf ssh:
>
> eis detected an attack from 185.143.223.135 to SSH on 11.03.2018 18:14:19
>
> Ich schaue (erst eine gute Stunde später) in /var/log/messages rein:
>
> Mar 11 18:12:19 eis sshd[30154]: Did not receive identification string
> from 185.143.223.135
> Mar 11 18:12:19 eis sshd[30161]: Connection closed by 185.143.223.135
> Mar 11 18:12:21 eis sshd[30174]: Invalid user RPM from 185.143.223.135
> Mar 11 18:12:21 eis sshd[30174]: input_userauth_request: invalid user RPM
> Mar 11 18:12:21 eis sshd[30174]: Failed none for invalid user RPM from
> 185.143.223.135 port 63922 ssh2
> Mar 11 18:12:32 eis sshd[30174]: Connection closed by 185.143.223.135
>
> Der Angriff ging also bereits um 18.12.19, also 2 Minuten vorher los.
Das kann mal passieren, wenn zu diesem Zeitpunkt mehrere Angriffe
gleichzeitig stattfinden. BFB kann leider nur der Reihe nach blocken.
> 10. Display blocked ip adresses
>
> blocked ip addresses
>
> ATMA.SE-Block
> iptables: No chain/target/match by that name.
> BFB-BLOCK
> 185.143.223.135
Wenn die IP hier angezeigt wird steht sie zumindest auch in den iptables
drin.
>
>
> bfb hat also die IP geblockt ... aber warum gehen die Angriffe noch 20
> Minuten nach der bfb-Meldung weiter ?
Ich weiß jetzt nicht was direkt in den iptables drin steht.
Was sagt denn
iptables-save | head -10
iptables-save | grep 185.143.223.135
Gruß
Olaf
Mehr Informationen über die Mailingliste Eisfair