[Eisfair] Mailserver Angriffe <> bfb
Olaf Jaehrling
eisfair at ojaehrling.de
Do Feb 6 23:39:55 CET 2025
Hallo Rolf,
Rolf Bensch schrieb am 06.02.25 um 10:58:
> Hallo Olaf,
>
> Am 06.02.25 um 00:37 schrieb Olaf Jaehrling:
>> Hallo Rolf,
>>
>> Rolf Bensch schrieb am 04.02.25 um 12:03:
>>> Moin zusammen,
>>>
>>> seit ca. 3 Wochen sehe ich hier massive Angriffsversuche auf den
>>> Mailserver. Das Problem sind wechselnde IP-Adressen der Angreifer:
>>>
>>> exim-mainlog:
>>
>> das kenne ich zur Genüge. Deshalb blocke ich mir die mit einem anderen
>> Script und schubse diese IP in nftables in die CHAIN "BOESE_IPS".
>> Dort sind mittlerweile fast 30k IP-Adressen.
>
> Hmm, sollte ich da wirklich alle IPs aufnehmen, die da gelistet werden?
> Das sind mehrere hundert die teilweise auch in deutsche Netze aufgelöst
> werden.
Naja, Das ist eine Entscheidung die du für dich treffen musst. Du
könntest das script ja auch anpassen, so dass die IPs jeweils nur eine
bestimmte Zeit geblockt werden.
Das Script läuft aber autark, ohne BFB und in eine andere Chain.
>
>>>
>>> Heute 00:00 - 11_50 Uhr ca 8500 Angriffe mit ständig wechselnden IPs.
>>>
>>> BFB scheint hier an eine Kapazitätsgrenze zu stoßen:
>>> Feb 4 10:30:13 eis64-3 initfile[31156]: cat:
>>> /brute_force_blocking/atackingips: No space left on device
>>> Feb 4 10:30:13 eis64-3 initfile[31217]: cat:
> tmpfs 516054 29 516025 1% /brute_force_blocking
> tmpfs 103210 23 103187 1% /run/user/2022
> tmpfs 103210 17 103193 1% /run/user/0
>>>
>>> Feb 04 11:17:36 eis64-3 initfile[14000]: connect: Connection refused
>>> Feb 04 11:17:36 eis64-3 BFB[14067]: address 5.164.185.13 blocked
>>> after 3 attempt to abuse MAIL
>>> Feb 04 11:18:08 eis64-3 initfile[26771]: connect: Connection refused
>>> Feb 04 11:18:08 eis64-3 BFB[26837]: address 96.79.249.93 blocked
>>> after 3 attempt to abuse MAIL
>>> Feb 04 11:31:10 eis64-3 initfile[9812]: connect: Connection refused
>>> Feb 04 11:31:29 eis64-3 initfile[13318]: connect: Connection refused
>>> Feb 04 11:31:48 eis64-3 initfile[17432]: connect: Connection refused
>>> Feb 04 11:32:25 eis64-3 initfile[28020]: connect: Connection refused
>>> Feb 04 11:39:53 eis64-3 initfile[16142]: connect: Connection refused
>>
>> Das ist schon sehr komisch.
>
> Was ist denn da komisch? "Connection refused"?
Ja, genau das. Welche Connection wird refused und warum? BFB stellt doch
keine Verbindung irgendwohin her. Und dann das "no space left on device"
obwohl genug da ist.
andererseits ... es ist ja ein RAM-Laufwerk. Es könnte also auch ein
Hardwarefehler sein.
Schalte mal bitte BFB_USE_RAMDISK=no und starte BFB neu. Schau mal mal
was dann passiert.
>
>>
> Hier läuft nftables. Blockiert wird jeweils für 24 Stunden. Das Problem
> sind aber die wechselnden IPs. Ich wüsste jetzt nocht, wie bfb das
> auffangen könnte.
Naja BFB sollte das können, ist aber offensichtlich mit der Masse an
Anfragen überlastet
Oder Besser, Es kommt drauf an was due alles eingeschaltet hat. Wenn du
BFB_MAIL_WITH_WHOIS_REQUEST und BFB_MAIL_WITH_TRACEROUTE_REQUEST dauert
es halt pro IP so lange bis die Befehle abgearbeitet sind und in die
Mail kopiert wurden
Das war seinerzeit der Grund warum ich dafür ein eigenens Script
geschrieben hatte und natürlich weil ich nicht wollte dass die IPs
relativ zeitnah wieder freigegeben werden wie ich es bei den anderen
Sachen in BFB eingestellt hatte. Die durch das script geblockten
Adressen lasse ich relativ lange geblockt. :)
>
>> Das Script kann ich dir zur Verfügung stellen. Es funktioniert nur mit
>> nftables und im Moment nur mit ipv4. ipv6 gibbet im Moment noch nicht
>> so viele Angriffe. Sollten die dann aber auch losgehen kann man das
>> script schnell erweitern.
>
> Das kannst Du gerne machen - auch wenn ich jetzt noch nicht weiß, wie
> ich damit umgehen werde.
Ich hübsche es noch ein wenig auf und setze dann den Link hier ein.
>
>
> zwischen 03:22 und 09:07 Uhr war offensichtlich maximal Ruhe. Was besagt
> denn "Connection refused"?
Tja, wenn ich das wüsste in diesem Zusammenhang.
VG
Olaf
>
>
> Grüße
>
> Rolf
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Mehr Informationen über die Mailingliste Eisfair