[Eisfair] brute_force_blocking: fcron-Mail von checkchecker

Dirk Alberti Howy-1 at gmx.de
Sa Mär 25 19:39:11 CET 2023 

Hallo Olaf,

Am 25.03.23 um 16:34 schrieb Olaf Jaehrling:
> Hallo Dirk,
> 

> Wie Markus und Holger ja schon analysiert haben ist mir da wohl noch 
> eine Leiche durchgeflutscht.
> Die korrigierte Version habe ich soebend hochgeladen.

die aktualisierte Version hab ich jetzt installiert und bekam diese Meldung:

Mar 25 18:49:18 eisfair initfile[25337]: running atma.es update ... 


Mar 25 18:49:18 eisfair initfile[25337]: please wait appr. 2 minutes ... 


Mar 25 18:49:27 eisfair initfile[30667]: Error: Could not process rule: 
File exists

Mar 25 18:49:27 eisfair initfile[30667]: add set ip filter BFBTIMELIST 
{type ipv4_addr; elements={192.168.2.6 timeout 160m} ;} 


Mar 25 18:49:27 eisfair initfile[30667]:                   ^^^^^^^^^^^ 


Mar 25 18:49:46 eisfair initfile[25337]: done 


Mar 25 18:49:54 eisfair initfile[25337]: brute_force_blocking is running 
with pid 26110 


Mar 25 18:49:54 eisfair systemd[1]: Finished Brute Force Blocking 
service.


Und zack haut er mir auch wieder die Email raus, dass die eigentlich 
free-gestellte IP 192.168.2.6 geblockt sei:

eisfair detected an attack from 192.168.2.6 to MAIL  on 25.03.2023

18:49:24


Aber das hatten wir ja letztens erst, deshalb hier Angaben für die Analyse:

eisfair # nft list chain ip filter BFBBLOCK
table ip filter {
         chain BFBBLOCK {
                 ip saddr 192.168.2.6 log prefix "ATTACKER.."
                 ip saddr @BFBLONG drop
                 ip saddr @BFBTIMELISTGREEN accept
                 ip saddr @BFBTIMELIST drop
         }
}



eisfair # nft list set ip filter BFBTIMELIST
table ip filter {
         set BFBTIMELIST {
                 type ipv4_addr
                 flags timeout
         }
}



eisfair # bfb-db.sh show 192.168.2.6
192.168.2.6

eisfair # bfb-db.sh print |grep 192.168.
no-ip.biz.|4|192.168.1.5|DD_1
192.168.2.6|1|block|2023-03-25

eisfair # bfb-db.sh print free
eisfair #



Und die Mail, dass 192.168.2.6 geblockt wurde, kam jetzt aller 5 min 
neu, ohne dass ich es entblockt hätte.


Okay, nachdem ich übers Menü

14. reinizialize Database - All Entries will be deleted
15. renew free-ip address Entries in Database

durchgeführt habe, ist alles wieder so, wie es soll.


Dann müsste letzteres doch am besten automatisch bei jedem Update oder 
sogar bei jedem abspeichern des Setup durchgeführt werden, was es 
momentan nicht tut.
Oder ich versuche mir zu merken, dass ich das dann manuell auslösen 
muss...  ;-)

Grüße, Dirk

Mehr Informationen über die Mailingliste Eisfair