Server wird angegriffen?

  • Hey Leute, ich muss jetzt nochmal im Allgemeinen Fragen. Ich konnte mit fail2ban und iptables schon sehr viel erreichen.


    Ich habe tausende Loginversuche im Bereich FTP und jetzt auch über postfix.
    Aktuell sieht die Log so aus mit immer neuen Benutzernamen:


    Jetzt ist für mich die Frage, in wie fern das jetzt Angriffe sind die nicht weite rbeunruhigend sind oder sind es jetzt welche die mehr Aufmerksamkeit benötigen?


    Ich habe den ssh port geändert, aber root login noch drinnen (durch winscp, da ich wenn ich winscp nutze nicht mit einem anderen user mich einloggen kann und dann auf roto zugreifen kann - schonmal versucht - sowas geht nicht)
    Ich nutze ipTables und habe fail2ban auf apache, proftpd,ssh,postfix,ssh-ddos
    ich habe claimav drauf (ja, ob nun wirklich sinnvoll ode rnicht ist erstmal dahin gestellt)


    So, das alles sollte gegen normale automatisierte Angriffe ja völlig ausreichen denke ich.


    Aber der FTP ist nach wie vor ab und an langsam (ca 10-20 Aktionen, dann pausiert er wieder, wenn auch nicht mehr so lange wie im anderen Thema)


    Die Frage ist jetzt, werde ich "gezielt" angegriffen, ist das schon mehr als normal? Was kann ich noch machen?


    LG

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • Wenn du SASL nutzt, solltest du noch den entsprechenden Filter aktivieren.


    Ob es aufmerksamkeit benötigt liegt imho eher in der Qualität der Angriffe. Es kann ganz normal sein in einer halben stunde einige hundert IPs zu blocken. solange das aber nur ein zielloser bruteforce auf mögliche mailadressen oder mit standardkennwörtern ist, ist das wenig beunruhigend, solang die eigenen passwörter entsprechend sicher sind.


    ich hab dafür auch entsprechendes monitoring, sodass ich bei vielen fail2ban blocks benachrichtigt werde, ebenso bei einer mailqueue die voller als normal ist.

  • Naja, das ist mir ja bekannt. Aber es sind immer ein paar Tausend Zeilen Log die ich neu habe....mal schgauen ob sich das wieder legt.


    Kann ja nicht im Sinne des Zwecks sein, wenn da tausende Anfragen kommen. Wäre in so einem Fall es möglich die IP zu wechseln?


    Komisch ist immer das hier:

    Zitat

    2014-07-23 12:07:03,650 fail2ban.actions: WARNING [proftpd] Ban 110.80.58.64
    2014-07-23 14:07:04,449 fail2ban.actions: WARNING [proftpd] Unban 110.80.58.64
    2014-07-23 14:08:19,545 fail2ban.actions: WARNING [proftpd] Ban 27.153.186.249
    2014-07-23 16:08:20,341 fail2ban.actions: WARNING [proftpd] Unban 27.153.186.249


    LG

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

    Einmal editiert, zuletzt von Real-DD-2 ()

  • Was ist daran komisch?


    Ich glaube nicht, dass du die IP deswegen wechseln kannst. Mach dir nicht so einen Kopf. Das sind irgendwelche Bots in China oder sonst wo. Wenn alles richtig abgesichert ist, dann passiert auch nichts.


    Was ist an deinem Logausschnitt komisch?

  • Na, ich finde es komisch, das die ip gebannt wurde und eine Minute später wieder entbannt wurde...
    Naja, es ist soweit alles abgesichert - wenn das weiterhin so bleibt, passiert auch nichts.


    Passwörter sind alle generiert und mid. 12 zeichen lang

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • Der Ban liegt eig. bei 7200 Minuten, deswegen bin ich verwundert gewesen.


    Das ich eine Mail bekomme bei X Bans in X Minuten habe ich jedoch noch nicht hinbekommen.

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • Werden bei fail2ban die Einstellungen nicht in Sekunden angegeben? Demnach wären 7200 Sekunden = 120 Minuten = 2 Stunden
    Das würde dann auch mit den Log-Dateien zusammenpassen.

    2 Mal editiert, zuletzt von gemini () aus folgendem Grund: fehlendes Wort ergänzt