Angriff auf Apache/froxlor seit nunmehr 12 h

extremmichi · 7. Dezember 2012

Hi Leute,
so langsam mache ich mir Sorgen
denn bisher war ich verschont von
solchen größeren Sachen.
seit ca 2:00 Uhr wird mein Server
von vielen versch. IPs angegriffen
auszugsweise aus der fail2ban.log
nurmal die letzte Stunde:

Code

2012-12-07 14:00:46,560 fail2ban.actions: WARNING [sasl] Unban 173.163.9.161
2012-12-07 14:01:43,369 fail2ban.actions: WARNING [sasl] Ban 50.34.10.50
2012-12-07 14:02:45,844 fail2ban.actions: WARNING [sasl] Unban 23.24.12.243
2012-12-07 14:06:24,785 fail2ban.actions: WARNING [sasl] Ban 108.162.17.130
2012-12-07 14:07:12,094 fail2ban.actions: WARNING [sasl] Unban 98.174.235.103
2012-12-07 14:08:58,478 fail2ban.actions: WARNING [sasl] Ban 75.146.225.49
2012-12-07 14:09:26,653 fail2ban.actions: WARNING [sasl] Unban 75.127.236.194
2012-12-07 14:11:44,330 fail2ban.actions: WARNING [sasl] Unban 50.34.10.50
2012-12-07 14:13:53,798 fail2ban.actions: WARNING [sasl] Ban 50.192.56.14
2012-12-07 14:16:25,712 fail2ban.actions: WARNING [sasl] Unban 108.162.17.130
2012-12-07 14:18:44,931 fail2ban.actions: WARNING [sasl] Ban 67.52.184.130
2012-12-07 14:19:18,211 fail2ban.actions: WARNING [sasl] Unban 75.146.225.49
2012-12-07 14:21:03,097 fail2ban.actions: WARNING [sasl] Ban 89.119.220.57
2012-12-07 14:23:54,583 fail2ban.actions: WARNING [sasl] Unban 50.192.56.14
2012-12-07 14:25:21,808 fail2ban.actions: WARNING [sasl] Ban 108.162.17.130
2012-12-07 14:28:45,322 fail2ban.actions: WARNING [sasl] Unban 67.52.184.130
2012-12-07 14:31:03,861 fail2ban.actions: WARNING [sasl] Unban 89.119.220.57
2012-12-07 14:34:02,821 fail2ban.actions: WARNING [sasl] Ban 89.119.220.57
2012-12-07 14:35:22,088 fail2ban.actions: WARNING [sasl] Unban 108.162.17.130
2012-12-07 14:38:12,604 fail2ban.actions: WARNING [sasl] Ban 23.25.216.129
2012-12-07 14:40:15,667 fail2ban.actions: WARNING [sasl] Ban 75.127.236.194
2012-12-07 14:42:32,115 fail2ban.actions: WARNING [sasl] Ban 67.52.184.130
2012-12-07 14:44:03,434 fail2ban.actions: WARNING [sasl] Unban 89.119.220.57
2012-12-07 14:44:46,959 fail2ban.actions: WARNING [sasl] 67.52.184.130 already banned
2012-12-07 14:48:13,146 fail2ban.actions: WARNING [sasl] Unban 23.25.216.129
2012-12-07 14:50:15,673 fail2ban.actions: WARNING [sasl] Unban 75.127.236.194
2012-12-07 14:52:32,150 fail2ban.actions: WARNING [sasl] Unban 67.52.184.130
2012-12-07 14:53:25,455 fail2ban.actions: WARNING [sasl] Ban 37.209.31.239
2012-12-07 14:55:33,835 fail2ban.actions: WARNING [sasl] Ban 75.127.236.194
2012-12-07 14:57:46,458 fail2ban.actions: WARNING [sasl] Ban 50.74.62.242

Alles anzeigen

die Auszüge aus der auth.log(sehr kurz da ja immergleich nur mit anderen Namen)
werdet ihr sicher kennen:

Code

Dec  7 14:57:45 v2201010XXXXXXXX postfix/smtpd[6731]: sql plugin doing query SELECT password FROM mail_users WHERE username='catherine@v2201010XXXXXXXX.yourvserver.net' OR email='catherine@v2201010XXXXXXXX.yourvserver.net';
Dec  7 14:57:45 v2201010XXXXXXXX postfix/smtpd[6731]: sql plugin doing query SELECT password FROM mail_users WHERE username='catherine@v2201010XXXXXXXX.yourvserver.net' OR email='catherine@v2201010XXXXXXXX.yourvserver.net';
Dec  7 15:00:12 v2201010XXXXXXXX postfix/smtpd[7849]: sql plugin doing query SELECT password FROM mail_users WHERE username='jeffrey@v2201010XXXXXXXX.yourvserver.net' OR email='jeffrey@v2201010XXXXXXX.yourvserver.net';

So nun meine Frage:
Wie gefährlich ist das nun und welche Gegenmassnahmen kann ich unternehmen,
damit das aufhört?
bzw. WAs kann ich machen damit alles sicher ist/bleibt?
momentan denke ich dran der server zu stoppen
bisher scheint fail2ban ja zuverlässig zu arbeiten aber wie hier schon öfter
zu Lesen war , setzt die FW ja manchmal aus.
var/www ist über htaccess geschützt
sowie nur über https zu erreichen

vmk · 7. Dezember 2012

Wieso entsperrst du eine IP so schnell? Man sieht ja in deinem Log direkt, dass die IP direkt danach wieder auf deinen Server zugreift und gesperrt wird.

Wenn du keine internationalen Kunden hast, dann würde ich einfach den entsprechenden kompletten IP-Range sperren. Entweder per Firewall oder direkt in der Apache-Konfiguration wenn die Firewall von Netcup irgendwo ein Limit für die Anzahl der Einträge haben sollte.

Alternativ kannst du auch Gegenmaßnahmen ergreifen. Eine Möglichkeit wäre per .htaccess eine Umleitung auf eine eigene, spezielle php-Seite zu schalten. Bei mir hat das ein paar Bots/Was-auch-immer gut vergrault.

Quick&Dirty:

PHP

itai-otakus default # cat thisdoesnotexistahaha.php 
<?php
$start = time();
$x = 17;
while (true) {
        for ($i=0; $i < 5000; $i++) {
                $x = rand(0,255);
                echo chr($x);
                }
        if ( $x % 66 == 0 ) sleep (1);
        $now = time();
        if ( ($now-$start) > 15) break;
}
php?>

Alles anzeigen

edit: Achtung, obiges Skript kann Traffik verursachen! Im Zweifelsfall in Zeile 10 länger bzw. öfter Schlafen und/oder Zeile 12 anpassen damit die Angreifer verhungern.

extremmichi · 7. Dezember 2012

danke für die schnelle Antwort
die Sperre von 10 min ist noch standard und hat bisher immer gereicht
aber ich werde erstmal die Zeit verlängern.
Leider habe ich internationale Kunden, sodass dein 2ter Vorschlag etwas schwierig wird.

Da du dein script hier gepostet hast , denke , darf
ich das auch benutzen. Also werd ich das auch mal einbauen

michi

vmk · 7. Dezember 2012

btw, file2ban konnte doch auch Angriffe weitermelden und so eine globale Blockliste beziehen. Weiß nicht wie sinnvoll diese ist, aber die könnte man dem Apache auch noch *statisch* (d.h. nicht per .htaccess) unterjubeln. Wobei das Problem ja ist, dass deine Angreifer aus DialUp-Netzen kommen. Die werden also ständig ihre IP ändern.

extremmichi · 7. Dezember 2012

Zitat von vmk

btw, file2ban konnte doch auch Angriffe weitermelden und so eine globale Blockliste beziehen. Weiß nicht wie sinnvoll diese ist, aber die könnte man dem Apache auch noch *statisch* (d.h. nicht per .htaccess) unterjubeln. Wobei das Problem ja ist, dass deine Angreifer aus DialUp-Netzen kommen. Die werden also ständig ihre IP ändern.

oha
dazu müsste ich aber Hilfe haben

Mainboarder · 7. Dezember 2012

Ich würde sagen, die IPs einfach einen tag lang sperren (fail2ban entsprechend konfigurieren, neustart nicht vergessen (dauert lange, da erst alle regeln via SOAP gelöscht werden müssen)) und schauen was sich so an IPs in der Firewall sammelt. Fallen dir Ähnlichkeiten auf, dann einfach den Range kicken. Halt heute mal noch etwas genauer nachsehen.

Ansonsten hast du hier listen für das sperren mittels htaccess:
www.blocklist.de -- Export all Attacker-IPs from the last 48 Hours.
Und hier die Anweisung für die htaccess:
Website vor unliebsamen Besuchern schützen mittels htaccess
Das ist aber imo eher unnötig und unperformant

Eine wirkliche Gefahr sollten die Angriffe aber nicht darstellen, sofern dein server richtig konfiguriert ist.

extremmichi · 7. Dezember 2012

danke für die Links
werde ich mir sofort ansehen

24h blocken ist eher schwierig
weil irgendwann die FW voll würde

Mainboarder · 7. Dezember 2012

Deswegen sollst du nach ranges suchen, die du sperren kannst. Dann werden aus z.b fünf regeln eine.

extremmichi · 7. Dezember 2012

stimmt

wXXX · 7. Dezember 2012

Den logs nach betrifft das doch den Mailserver (SASL Authd)und nicht den Apache?!

Hatte ich heute auch wiedermal, sind immer verschiedene US IPs.

vmk · 7. Dezember 2012

Gut beobachtet, danke ,-)

extremmichi · 8. Dezember 2012

moin,
ja stimmt hab ich gestern beim googlen dann auch festegestellt
aber da immer auf die syscp db zugegriffen wurde , bin ich von froxlor
und somit Apache ausgegangen.

Danke für die Richtigstellung

Achja ,
die Zugriffe haben aufgehört als ich die Blockzeiten deutlich verlängert hatte