[Eisfair] [E64]: BFB: "no host name found for IP address "

Rolf Bensch azubi at bensch-net.de
Di Dez 22 15:56:00 CET 2020 

Hallo Olaf,

Am 22.12.20 um 15:39 schrieb Olaf Jaehrling:
> Hallo Rolf,
> 
> 
> Rolf Bensch schrieb am 22.12.20 um 10:37:
>> Nachtrag:
>>
>> Direkt nach dem Neustart von BFB dann:
>>
>> Dec 22 10:34:35 ibs-server BFB[30625]: Brute_Force_Blocking wurde gestoppt
>> Dec 22 10:34:45 ibs-server BFB[31815]: address 193.56.29.19 blocked
>> after 625 attempt to abuse MAIL
>>
>> Weshalb funktionierte das nicht im laufenden Betrieb?
> 
> um das zu beurteilen bräuchte ich das debuglog.

das liegt leider nicht vor. Wenn das nochmal auftritt, werde ich 
debuglog aktivieren.

> Meine Vermutung ist eher, dass die Adresse dann Authfehler im logfile
> hat. Bei der o.g. Meldung werden dann aber alle Einträge im Logfile
> gezählt. Das ist auch nicht anders abbildbar wenn das Script noch
> einigermaßen Performant bleiben soll.

Der Auszug aus dem Logfile ist vollständig. D.h. es gibt dort keine 
weiteren Infos zu dieser IP-Adresse. Oder meinst Du ein anderes Logfile?

> Welche BFB-Version verwendest du?

das war noch mit 1.0.13, habe aber gerade auf 1.0.19 aktualisiert.

>>
>> Am 22.12.20 um 10:34 schrieb Rolf Bensch:
>>> Hallo zusammen,
>>>
>>> ich finde in den Mail-Logfiles haufenweise Einträge wie z.B.
>>>
>>> │2020-12-22 10:06:35 no host name found for IP address 193.56.29.19
>>> │2020-12-22 10:07:31 no host name found for IP address 193.56.29.19
>>> │2020-12-22 10:08:26 no host name found for IP address 193.56.29.19
>>> │2020-12-22 10:09:20 no host name found for IP address 193.56.29.19
>>> │2020-12-22 10:10:14 no host name found for IP address 193.56.29.19
>>> │2020-12-22 10:11:09 no host name found for IP address 193.56.29.19
>>> │2020-12-22 10:12:03 no host name found for IP address 193.56.29.19
>>>
>>> und wundere mich, weshalb BFB hier nicht einschreitet. Gemäß
>>> abuseipdb.com ist das ein Angriff auf den Mailserver
> 
> Nein, das bedeutet nur, dass der Mailserver keinen Reverseeintrag
> auflösen kann.

das ist klar.

> Passiert sehr häufig auch bei privaten Adressen oder dyndns-Adressen.
> Natürlich kann das auch bei einem Angreifer passieren, aber es ist kein
> Alleinstellungsmerkmal für einen Angriff.

Naja, bei >600 Versuchen in Minuten-abständen ist aber definitiv etwas 
faul. Habe jetzt BCN mit der Adresse gefüttert, damit ist vorläufig 
Ruhe. Solche "Angriffe" treten aber mehr oder weniger regelmäßig auf.

Grüße Rolf

Mehr Informationen über die Mailingliste Eisfair