Hey Leute, ich muss jetzt nochmal im Allgemeinen Fragen. Ich konnte mit fail2ban und iptables schon sehr viel erreichen.
Ich habe tausende Loginversuche im Bereich FTP und jetzt auch über postfix.
Aktuell sieht die Log so aus mit immer neuen Benutzernamen:
ZitatAlles anzeigen
Jul 23 15:47:37 [#SERVERIP#] postfix/smtpd[4962]: sql plugin create statement from userPassword laurence [#SERVERIP#].yourvserver.net
Jul 23 15:47:37 [#SERVERIP#] postfix/smtpd[4962]: sql plugin doing query SELECT password FROM mail_users WHERE username="laurence@[#SERVERIP#].yourvserver.net" OR email="laurence@[#SERVERIP#].yourvserver.net";
Jul 23 15:47:37 [#SERVERIP#] postfix/smtpd[4962]: sql plugin: no result found
Jul 23 15:47:37 [#SERVERIP#] postfix/smtpd[4962]: commit transaction
Jul 23 15:47:37 [#SERVERIP#] postfix/smtpd[4962]: sql plugin Parse the username laurence@[#SERVERIP#].yourvserver.net
Jul 23 15:47:37 [#SERVERIP#] postfix/smtpd[4962]: sql plugin try and connect to a host
Jul 23 15:47:37 [#SERVERIP#] postfix/smtpd[4962]: sql plugin trying to open db 'froxlor' on host '127.0.0.1'
Jul 23 15:47:38 [#SERVERIP#] postfix/smtpd[4962]: sql plugin Parse the username laurence@[#SERVERIP#].yourvserver.net
Jul 23 15:47:38 [#SERVERIP#] postfix/smtpd[4962]: sql plugin try and connect to a host
Jul 23 15:47:38 [#SERVERIP#] postfix/smtpd[4962]: sql plugin trying to open db 'froxlor' on host '127.0.0.1'
Jul 23 15:47:38 [#SERVERIP#] postfix/smtpd[4962]: begin transaction
Jul 23 15:47:38 [#SERVERIP#] postfix/smtpd[4962]: sql plugin create statement from userPassword laurence [#SERVERIP#].yourvserver.net
Jul 23 15:47:38 [#SERVERIP#] postfix/smtpd[4962]: sql plugin doing query SELECT password FROM mail_users WHERE username="laurence@[#SERVERIP#].yourvserver.net" OR email="laurence@[#SERVERIP#].yourvserver.net";
Jul 23 15:47:38 [#SERVERIP#] postfix/smtpd[4962]: sql plugin: no result found
Jul 23 15:47:38 [#SERVERIP#] postfix/smtpd[4962]: commit transaction
Jul 23 15:47:38 [#SERVERIP#] postfix/smtpd[4962]: sql plugin Parse the username laurence@[#SERVERIP#].yourvserver.net
Jul 23 15:47:38 [#SERVERIP#] postfix/smtpd[4962]: sql plugin try and connect to a host
Jul 23 15:47:38 [#SERVERIP#] postfix/smtpd[4962]: sql plugin trying to open db 'froxlor' on host '127.0.0.1'
Jul 23 15:47:39 [#SERVERIP#] postfix/smtpd[4962]: sql plugin Parse the username laurence@[#SERVERIP#].yourvserver.net
Jul 23 15:47:39 [#SERVERIP#] postfix/smtpd[4962]: sql plugin try and connect to a host
Jul 23 15:47:39 [#SERVERIP#] postfix/smtpd[4962]: sql plugin trying to open db 'froxlor' on host '127.0.0.1'
Jul 23 15:47:39 [#SERVERIP#] postfix/smtpd[4962]: begin transaction
Jetzt ist für mich die Frage, in wie fern das jetzt Angriffe sind die nicht weite rbeunruhigend sind oder sind es jetzt welche die mehr Aufmerksamkeit benötigen?
Ich habe den ssh port geändert, aber root login noch drinnen (durch winscp, da ich wenn ich winscp nutze nicht mit einem anderen user mich einloggen kann und dann auf roto zugreifen kann - schonmal versucht - sowas geht nicht)
Ich nutze ipTables und habe fail2ban auf apache, proftpd,ssh,postfix,ssh-ddos
ich habe claimav drauf (ja, ob nun wirklich sinnvoll ode rnicht ist erstmal dahin gestellt)
So, das alles sollte gegen normale automatisierte Angriffe ja völlig ausreichen denke ich.
Aber der FTP ist nach wie vor ab und an langsam (ca 10-20 Aktionen, dann pausiert er wieder, wenn auch nicht mehr so lange wie im anderen Thema)
Die Frage ist jetzt, werde ich "gezielt" angegriffen, ist das schon mehr als normal? Was kann ich noch machen?
LG