[Eisfair] [E64]: BFB: "no host name found for IP address "
Rolf Bensch
azubi at bensch-net.de
Fr Jan 8 16:37:22 CET 2021
Hallo Olaf,
Am 08.01.21 um 11:33 schrieb Olaf Jaehrling:
> Moin Rolf,
>
> Rolf Bensch schrieb am 08.01.21 um 10:24:
>> Hallo Olaf,
>>
>>
>> Am 06.01.21 um 21:21 schrieb Olaf Jaehrling:
>>> ...
>
>>
>> Debug läuft jetzt. Gestern gab's Attacken von 185.36.81.33, die auch von
>> bfb beblockt wurden:
>>
>> Jan 7 23:07:47 eis64-2 BFB[13887]: address 185.36.81.33 blocked after
>> 181 attempt to abuse MAIL
>>
>> aber warum erst nach 181 Versuchen? Bei einem bfb-Lauf, 10 Sekunden
>> vorher, wird nichts erkannt:
> Jein, Die 181 Versuche ist die gesamtzahl, die schon versucht wurden,
> also im Logfile stehen. Da kann ich auch recht wenig machen, da ich ja
> nie weis wie alt oder lang das Leogfile ist. Ich könnte höchstens die
> Zahl weglassen um Irritationen zu vermeiden.
Hmmm, die Zahl sagt aber aus, wie penetrant der Angriff ist. Insofern
hat sie wenigstens einen Wert. Schicker fände ich es, wenn der Grund für
die Blockierung sichtbar wäre.
>>
>> mail check
>> maillog=/var/log/messages
>> Paket mail wird verwendet
>> mainlog=/var/spool/exim/log/mainlog
>> mainlogdate=2021-01-07 23:0
>> mainlogdate2=2021-01-07
>> pop3
>> end mail check
>>
>> Die Angriffe waren über den ganzen Tage gestreut mit unterschiedlichen
>> Pausen dazwischen:
>> ....
>> 2021-01-07 20:29:23 no host name found for IP address 185.36.81.33
>> 2021-01-07 20:37:41 no host name found for IP address 185.36.81.33
>> 2021-01-07 20:57:28 no host name found for IP address 185.36.81.33
>> 2021-01-07 21:01:05 no host name found for IP address 185.36.81.33
>> 2021-01-07 21:17:16 no host name found for IP address 185.36.81.33
>> 2021-01-07 21:32:52 no host name found for IP address 185.36.81.33
>> 2021-01-07 21:37:09 no host name found for IP address 185.36.81.33
>> 2021-01-07 21:57:03 no host name found for IP address 185.36.81.33
>> 2021-01-07 22:04:34 no host name found for IP address 185.36.81.33
>> 2021-01-07 22:16:51 no host name found for IP address 185.36.81.33
>> 2021-01-07 22:36:21 no host name found for IP address 185.36.81.33
>> 2021-01-07 22:36:40 no host name found for IP address 185.36.81.33
>> 2021-01-07 22:56:23 no host name found for IP address 185.36.81.33
>> 2021-01-07 23:07:40 no host name found for IP address 185.36.81.33
>
> Da kommt es darauf an wie es in der Konfiguration aussieht.
> Was zeigt
> grep BFB_MONITOR_BOT_ATTACK_ATTEMPTS /etc/config.d/brute_force_blocking
> grep 185.36.81.33 /var/spool/exim/log/mainlog |grep 2021-01-08 | wc -l
eis64-2 (/) # grep BFB_MONITOR_BOT_ATTACK_ATTEMPTS
/etc/config.d/brute_force_blocking
BFB_MONITOR_BOT_ATTACK_ATTEMPTS='5' # Number of attempts to block
eis64-2 (/) # grep 185.36.81.33 /tmp/mainlog.1 |grep 2021-01-07 | wc -l
111
30 Einträge waren bereits morgens um 06:11 Uhr erreicht:
eis64-2 (/) # grep 185.36.81.33 /tmp/mainlog.1 | head -n30 | tail -n1
2021-01-07 06:11:35 no host name found for IP address 185.36.81.33
Grüße Rolf
Mehr Informationen über die Mailingliste Eisfair