Server-Fehleinstellung oder doch DoS-Atacke

    Hi @ALL
    seit ein paar Tagen füllt sich mein syslogmit folgenden Zeilen:

    Code
    /var/log/syslog:Dec 26 19:00:26 v220140469621XXXX kernel: [21848.570990] TCP: drop open request from 192.230.77.217/27838
/var/log/syslog:Dec 26 19:00:32 v220140469621XXXX kernel: [21854.757530] TCP: drop open request from 192.230.77.217/7232
/var/log/syslog:Dec 26 19:00:33 v220140469621XXXX kernel: [21856.052063] TCP: drop open request from 192.230.77.217/15792
/var/log/syslog:Dec 26 19:00:34 v220140469621XXXX kernel: [21856.474268] TCP: drop open request from 192.230.77.217/50260
/var/log/syslog:Dec 26 19:00:36 v220140469621XXXX kernel: [21859.322258] TCP: drop open request from 192.230.77.217/37327
/var/log/syslog:Dec 26 19:00:37 v220140469621XXXX kernel: [21860.231697] TCP: drop open request from 192.230.77.217/8175
/var/log/syslog:Dec 26 19:00:38 v220140469621XXXX kernel: [21860.553607] TCP: drop open request from 192.230.77.217/26571
/var/log/syslog:Dec 26 19:00:39 v220140469621XXXX kernel: [21861.363653] TCP: drop open request from 192.230.77.217/27648


    Eine Suche bei google bringt mir 3 Lösungen
    1: persistente Verbindungen im Apache
    2: Tor-Relay ( Tor ist nicht installiert)
    3: DoS-Atacke (kein DDoS, da nur die eine IP auffällt), Sysn-Cookies


    Ich vermute, wenn ich weitersuche , bekomme ich noch mehr Lösungsangebote.
    Die IP ist erstmal geblockt per IPTABLES und seitdem ist Ruhe.
    Ich habe die IP durch ganz /var/log/ verfolgt und sie fällt in kineer anderen Datei auf als
    Syslog kernel.log und debug auf.
    Das bedeutet ich weiss nicht auf welchen dienst sie nun zugreift oder versucht zuzugreifen.
    Fakt ist, der Server wird rein privat (nur von mir) genutzt mit dem owncloud-image.
    Webserver ist also installiert , keine weitere Webseite vorhanden.
    Die Adresse kommt aus USA und hat definitiv nix auf meinem zu suchen.
    Ich gehe also davon aus, dass der nichts Gutes im Schilde führt.


    Zu o.g. Google-Ergebnissen
    1: persistente Verbindungen abschalten?
    Was ist mit den Performanceeinbußen?
    2: Tor ist nicht installiert, was kann ich also tun?
    3: DoS? wie kann ich Iptables anweisen die evtl. kommenden IP'S sperren
    oder kann mir jemand helfen einen Filter für fail2ban zu machen?


    Was kann/soll ich tun?


    Gruss


    michi

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

    Du kannst auch mit Limits in IPTables arbeiten:


    -A INPUT -i eth0 -p tcp -m tcp --dport 80 -m limit --limit 40/min --limit-burst 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT


    Heißt dann zum Beispiel 40 Pakete pro Minute von einer IP über Port 80 sind ok. Man hat aber auch einen Burst von 80. Das ist ein Kontingent, was bei jedem weiteren Paket genutzt wird. Es ist also auch möglich einmal 120 Pakete pro 30 Sekunden zu senden, danach werden für 30 Sekunden weitere abgelehnt.


    Pro Minute kommt ein weiterer Burstpunkt wieder hinzu, solange bis das volle Kontingent wieder aufgefüllt ist. Also sind in der nächsten Minute wieder 41 Pakete möglich.


    Was dabei die besten Limits sind, musst du dann aber selbst durch Testen herausfinden.


    Mit Fail2Ban kannst du auch einen Apache DoS Filter bauen mit der regex:


    failregex = ^<HOST> -.*\"(GET|POST).*

    Hi mainborder,
    danke für die Antwort.
    die IPTables-Regel habe ich noch nicht ganz verstanden, deshalb habe icch dies noch nicht getestet.
    Da es heute aber wieder losgeht von 3 IP gleichzeitig,
    habe ich eine Regel für Fail2ban erstellt.
    jail.local:

    Code
    [tcp-packet]
enabled = true
port	= http,https
filter  = tcp_packet
logpath = /var/log/syslog
maxretry = 30


    und die tcp_packet.conf


    fail2ban-regex /var/log/syslog /etc/fail2ban/filter.d/tcp_packet.conf

    Code
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
	5.9.102.XXX (Mon Dec 29 00:15:37 2014)




Date template hits:
6660 hit(s): MONTH Day Hour:Minute:Second
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


    es scheint also zu funktionieren.....


    Mir stellt sich immernoch die Frage,
    da diese "Angriffe" neu für mich sind,
    kann es nicht doch eine Fehlfunktion meines Servers sein?
    2 IP heute sind aus dem Hetzner Netzwerk und einmal Ukraine.
    Bevor ich also die Welt in Aufruhr bringe, möchte ich eigene Fehler ausschliessen.
    Ausserdem bin ich mir unsicher über den Wert für
    maxretry = 30
    Reicht das? (dein Vorschlag war 40-80)
    oder ist das überdimensioniert und <10 reicht ?
    Ich nutze den Server ganz allein Es gibt keine Dienste nach aussen, die angeboten werden
    Nichtmal ein mailserver aktiv.


    Danke im Voraus


    michi

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

    die iptables regel würde halt die eingehenden pakete drosseln aber nie ganz verhindern. die werte darin sind kein vorschlag sondern nur ein beispiel. es kommt halt wie gesagt darauf an, welches system das ist und wie es genutzt wird. das kannst eigentlich nur du durch testen herausfinden.


    deine erstellte fail2ban regel sieht gut aus und funktioniert ja auch.


    wenn du den server allein nutzt, dann brauchst du ja keinen datenverkehr von H etzner oder der ukraine von daher kannst du das auch einfach wegblocken.
    was es aber genau ist, kann ich dir leider nicht sagen.


    hast du denn alle sonstigen ports, die du nicht benötigst, zumindest eingehend gesperrt?

    Hi mainborder,
    ja es funktioniert gut mit fail2ban
    alles wird schön geblockt.


    Alles was nicht benötigt wird, ist dicht.


    Danke nochnal
    michi

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE