[Eisfair] E1/BFB: SSH-Angriffe nur teilweise geblockt
Olaf Jaehrling
eisfair at ojaehrling.de
Mi Mär 4 21:11:26 CET 2026
Hallo John,
John F. schrieb am 04.03.26 um 11:21:
> Am 03.03.2026 um 18:55 schrieb Rolf Bensch:
>
> Mar 4 06:06:33 server sshd-session[10302]: Failed password for root
> from 154.125.147.88 port 56801 ssh2
> Mar 4 06:06:35 server sshd-session[10302]: Received disconnect from
> 154.125.147.88 port 56801:11: Bye Bye [preauth]
> Mar 4 06:06:35 server sshd-session[10302]: Disconnected from
> authenticating user root 154.125.147.88 port 56801 [preauth]
>
> Wegen SSH_PERMITROOTLOGIN='no' in /etc/config.d/ssh wird jede Anmeldung
> per SSH mit dem User root abgelehnt und sollte m.E. auch von BFB erkannt
> und die IP geblockt werden.
Jupp, korrekt. Es sollte erkannt werden.
Kannst du mal bitte
BFB_RUN_IN_DEBUG_MODE='yes'
schalten und mit den Auszug zuschicken wenn BFB den Angriff nicht erkennt.
(/var/log/brute_force_blocking/brute_force_blocking_debug.log)
Interessant wäre auch zu wissen, ob du zu diesem Zeitpunkt sehr viele
Angriffe hast, so dass BFB vllt. gerade zu dieser Zeit eine andere IP
bearbeitet.
Wenn du BFB_BLOCK_PROACTIVE_FROM_DATABASE='yes' hast kannst du auch mal
schauen, ob die IP (aus welchen Gründen auch immer) schon in der
Datenbank eingetragen ist.
Das kannst du mit
/usr/local/brute_force_blocking/bfb-db.sh show $IP
überprüfen.
Sollte die IP schon drin stehen wird BFB die IP nicht blocken, da sie ja
eigentlich schon geblockt sein sollte.
Kannst Du mir mal bitte deine Konfig per PM zukommen lassen?
grep -v '#' /etc/config.d/brute_force_blocking |sed -e '/^\s*$/d'
VG
Olaf
--
Paketserver: https://ojaehrling.de/eis/index.txt
Mehr Informationen über die Mailingliste Eisfair