[Eisfair] [E64] bfb: block lokaler Adressen nach Update

[Olaf Jaehrling]

Hallo Rolf

Rolf Bensch schrieb am 25.04.22 um 11:25:
> Hallo Olaf,
> 

>>
>> Oh, das sollte nicht passieren. Hast du zufällig das Debuglog für mich?
> 
> leider nein. vermutlich wegen downgrade -> upgrade wurde 
> brute_force_blocking_debug.log gelöscht und neu erstellt. Der Part zur 
> passenden Uhrzeit hat es leider nicht ins Backup geschafft.
> 
> Es gibt aber aktuell wieder Einträge in der DB mit Komponenten aus dem LAN:
> 
> # /usr/local/brute_force_blocking/bfb-db.sh print atma | grep 192.168.0
> 192.168.0.101|76|slow|2022-04-25
> 192.168.0.112|1|slow|2022-04-24
> 192.168.0.121|38|slow|2022-04-25

Da ich nur in der slow-Rubrik was geändert habe unbd slow nur bei SSH 
und Mail verwendet wird muss dazu irgendwas in diesen logfiles zu finden 
sein.
Der Zeitraum ist ja auch begrentzt.
.101 am 25.4
.112 am 24.4
.121 am 25.4.

Kannst du mir da die Logfiles zuschicken?
grep -nE "192.168.0.101|192.168.0.112|192.168.0.121" /var/log/messages
grep -nE "192.168.0.101|192.168.0.112|192.168.0.121" 
/var/spool/exim/log/mainlog
grep -nE "192.168.0.101|192.168.0.112|192.168.0.121" /var/log/dovecot.log

Wenn da was von kex dabei steht brauche ich auch die Zeilen darüber.


> 
> Allerdings wird aktuell nichts blockiert:
> eis64-2 (/) # /usr/local/brute_force_blocking/bfb-db.sh print block | 
> grep 192.168.0.
> eis64-2 (/) #
> 
> Entsprechend listet "print free" alle Komponenten des LANs
> 
> eis64-2 (/) # /usr/local/brute_force_blocking/bfb-db.sh display 
> anzahllong 192.168.0.
> Insgesamt:
> 192.168.0.101 Anzahl: 76 Last used: 2022-04-25 reason: slow
> 192.168.0.112 Anzahl: 1 Last used: 2022-04-24 reason: slow
> 192.168.0.121 Anzahl: 38 Last used: 2022-04-25 reason: slow

ja, aber das BFB eine slow-Attacke erkannt hat.
Aus irgendeinem Gruß ignoriert BFB den FrEE Eintrag. Vermutlich in der 
slow-Schleife.
Das ist aber leider erstmal nur eine Vermutung.

Gruß

Olaf


-- 
Paketserver: https://ojaehrling.de/eis/index.txt