[Eisfair] E64>BFB 1.0.25 Problem mit Sperrung eigener Rechner

Olaf Jaehrling eisfair at ojaehrling.de
Fr Jun 18 21:12:53 CEST 2021 

Hallo Nelson,


Nelson Matias schrieb am 18.06.21 um 20:35:
> Hallo Gruppe,
> hallo Olaf.
> 
> Nach dem letzten Update ist mir gerade aufgefallen, das ich keine Mails
> mehr von meiner Fritte bekomme.
> Ich hab nachgeschaut und mich gewundert, das BFB meine öffentlichen
> IP-Adresse gesperrt hat.
> Was mich auch verwundert hat, war eine Sperrung meines Test-PCs vor ein
> paar Tagen.
> 
> --- Schnipp ---
> eis has detected an attack from 91.137.108.52 to MAIL  on 18.06.2021
> 13:38:02
> 
> eis has detected an attack from 192.168.1.1 to APACHE FileScan on
> 10.06.2021 19:07:17
> --- Schnapp ---
> 
> Mir ist dabei aufgefallen, das die Fritte scheinbar mehrmals per smtp
> auf den Eis zugreift bevor dann die Mail tatsächlich verschickt wird.
> 
> --- Auszug vom log ---
> 2021-06-18 13:35:03 no host name found for IP address 91.137.108.52
> 2021-06-18 13:35:10 no host name found for IP address 91.137.108.52
> 2021-06-18 13:35:12 1luCmE-0001nZ-NX <= ainex at anires.de H=(fritzbox)
> [91.137.108.52] P=esmtpa A=cram_server:ainex S=4697
> id=2239234.mmailer1692415097 at fritz.box
> --- log-Ende ---
> 
> Wie hier zu sehen ist wurde die Mail angenommen.
> 
> Zum Test-PC:
> Die Sperre kam genau zum Nextcloud update. Ich hatte da im Browser
> scheinbar noch ein Fenster offen und der Refresh ging wärend des updates
> ins leere.
> 
> --- Auszug vom log ---
> [Thu Jun 10 19:00:20.670719 2021] [autoindex:error] [pid 4027] [client
> 192.168.1.1:60154] AH01276: Cannot serve directory
> /var/www/www.anires.de/htdocs/nextcloud/: No matching DirectoryIndex
> (index.php,index.html) found, and server-generated directory index
> forbidden by Options directive
> [Thu Jun 10 19:00:20.681027 2021] [autoindex:error] [pid 4027] [client
> 192.168.1.1:60154] AH01276: Cannot serve directory
> /var/www/www.anires.de/htdocs/nextcloud/: No matching DirectoryIndex
> (index.php,index.html) found, and server-generated directory index
> forbidden by Options directive
> --- log-Ende ---

Das ist nicht die Ursache. Ich finde hier weder ein 404 noch ein 403.
> 
> Was jetzt aber unverständlich ist:
> BFB_FREE_IP='127.0.0.1 192.168.1.1 192.168.178.1 91.137.108.52
> 192.168.1.103 192.168.1.200'

ok, das ist schonmal korrekt.
> 
> BFB_BOT_FREE_IP_ADDRESS_1='192.168.1.1'
> BFB_BOT_FREE_IP_ADDRESS_2='91.137.108.52'

Die sind für diesen Fall unrelevant.

> 
> Was ist hier bei mir falsch? Was kann ich machen um das aufzuklären?

Hast du zufällig BFB im debug laufen? Dann wäre das debug-log interessant
/var/log/brute_force_blocking/brute_force_blocking_debug.log

oder hast du mails zu den Sperrungen bekommen oder die entsprechenden 
Daten in einer html-Seite abgelegt?
Also
BFB_SEND_MAIL='yes'
BFB_SHOW_ATTACK_DETAILS_ON_WEB='yes'

Wenn ja, lass mir das mal bitte zukommen.


Danke und Gruß

Olaf

> 
> Gruß
> Nelson
> 

-- 
Paketserver: https://ojaehrling.de/eis/index.txt

Mehr Informationen über die Mailingliste Eisfair