komische Aktivitäten in den mail logs

Mozi · 26. September 2017

Hallo liebe Community,

wie der Titel schon besagt, gibt es komische Aktivitäten in den mail logs.

um es verständlicher zu machen erkläre ich es euch mal genauer.

also ich habe was versucht auf meinem vserver zu installieren, hat nicht ganz geklappt, lange rede, kurzer sinn, musste den vserver neu aufsetzen.

dabei habe ich debian jessie mit froxlor genommen und der mailserver war auch schon fertig eingerichtet.

vor der neuinstallation hatte ich diese aktivitäten auch schon festgestellt.

nun habe ich jetzt gerade mal wieder reingeschaut, und durfte feststellen, dass in der mail.log und mail.info schon über 10000 einträge sind, in der mail.warn über 3000 einträge.

der vserver ist aber gerade erst seit Sep 23 15:55:44 wieder online.

hier mal ein auszug:

Zitat

Sep 23 15:59:03 v2201610605738535 postfix/smtpd[1191]: warning: unknown[103.20.249.53]: SASL LOGIN authentication failed: VXNlcm5hbWU6

Sep 23 15:59:14 v2201610605738535 postfix/smtpd[1180]: warning: hostname walkerj235.com does not resolve to address 91.200.12.103

Sep 23 15:59:16 v2201610605738535 postfix/smtpd[1180]: warning: unknown[91.200.12.103]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Sep 23 16:00:32 v2201610605738535 postfix/smtpd[1191]: warning: 216-188-224-46.static.grandenetworks.net[216.188.224.46]: SASL Login authentication failed: UGFzc3dvcmQ6

Sep 23 16:01:55 v2201610605738535 postfix/smtpd[1191]: warning: hostname walkerj235.com does not resolve to address 91.200.12.103

Sep 23 16:01:57 v2201610605738535 postfix/smtpd[1191]: warning: unknown[91.200.12.103]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Sep 23 16:02:19 v2201610605738535 postfix/smtpd[1191]: warning: TLS library problem: error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown:s3_pkt.c:1315:SSL alert number 46:

Sep 23 16:04:35 v2201610605738535 postfix/smtpd[1370]: warning: hostname walkerj235.com does not resolve to address 91.200.12.103

Sep 23 16:04:37 v2201610605738535 postfix/smtpd[1370]: warning: unknown[91.200.12.103]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Sep 23 16:04:50 v2201610605738535 postfix/smtpd[1191]: warning: unknown[103.20.249.53]: SASL LOGIN authentication failed: VXNlcm5hbWU6

Sep 23 16:07:13 v2201610605738535 postfix/smtpd[1191]: warning: hostname walkerj235.com does not resolve to address 91.200.12.103

Sep 23 16:07:16 v2201610605738535 postfix/smtpd[1191]: warning: unknown[91.200.12.103]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Sep 23 16:09:53 v2201610605738535 postfix/smtpd[3105]: warning: hostname walkerj235.com does not resolve to address 91.200.12.103

Sep 23 16:09:55 v2201610605738535 postfix/smtpd[3105]: warning: unknown[91.200.12.103]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Sep 23 16:12:37 v2201610605738535 postfix/smtpd[3105]: warning: hostname walkerj235.com does not resolve to address 91.200.12.103

Sep 23 16:12:39 v2201610605738535 postfix/smtpd[3105]: warning: unknown[91.200.12.103]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Alles anzeigen

wie ihr sehen könnt, der server ist nicht mal 5 minuten online... und hochgeladen an webseiten inhalt hatte ich bis dahin auch noch gar nichts.

ich geh jetzt mal plump davon aus, das da was spam mäßiges unterwegs ist, meine frage dazu ist aber jetzt:

wo? und wie?

auf vielen seite die mein kunde betreibt, gibt es nicht mal seiten mit php, nur reine html seiten, und auch kein kontaktformular.

wenn das spam sein sollte, wie kann man da entgegenwirken? irgendjemand eine idee?

danke.

gruß mozi

fibis · 26. September 2017

Das sieht für mich nach dem normalen "Rauschen" aus, was du hast, wenn du einen Server im Internet hast. Es wird halt versucht auf den Mailserver einzuloggen, was jedoch auf Grund der Einstellungen nicht klappt. Dies hat auch nichts mit den Inhalten deines Kunden zu tun.

Ich würde dir raten Fail2Ban zu installieren, damit nach einigen Fehlversuchen die IP des Angreifers für einige Zeit gesperrt wird.

Mozi · 26. September 2017

habe heute nacht noch etwas rechachiert. damit könntest du recht haben. fail2ban werde ich mal installieren, mal schauen was die logs danach sagen.

vielen dank fibis

CmdrXay · 26. September 2017

Hay,

und um es einfach zu machen, falls nicht automatisch mitinstalliert, mit diesem fail2ban Filterstring bekommst Du die obigen IPs gebannt:

Code

failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL ((?i)LOGIN|PLAIN |(?:CRAM|DIGEST)-MD5) authentication failed(:[ A-Za-z0-9+/:]*={0,2})?\s*$

Hinweis: Bei einer zusätzlichen iptables-Firewall oder bei iptables-persistent darauf achten, dass nach einem Rechnerneustart alles auch wieder richtig losläd.

Mit anderen Worten, z.B. iptalbes-persistent vor fail2ban stoppen beim herunterfahren und vor fail2ban starten beim hochfahren. Wenn fail2ban nämlich herunterfährt, werden die zusätzlichen bans aus der iptables entfernt, woraufhin iptables-persistent die zu kleine iptables sichert - und beim Neustart startet fail2ban, läd seine bans, dann kommt iptables-persistent und läd die Einstellungen neu und damit fliegt alles wieder raus, was fail2ban schon gestartet hat.

CU, Peter

Lukay · 26. September 2017

Guten Tag,

noch ein Vorschlag meiner seits:

Die Felder "actionstart" und "actionstop" in der richtigen Firewall-Action-Konfig anpassen.

(In meinem Fall: /etc/fail2ban/action.d/iptables-multiport.conf)

In diesen Feldern stehen die Befehle, die beim start und stop von Fail2Ban ausgeführt werden.

Mit freundlichen Grüßen,

Lukas

Zitat von CmdrXay
Hay,

und um es einfach zu machen, falls nicht automatisch mitinstalliert, mit diesem fail2ban Filterstring bekommst Du die obigen IPs gebannt:
Code
failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL ((?i)LOGIN|PLAIN |(?:CRAM|DIGEST)-MD5) authentication failed(:[ A-Za-z0-9+/:]*={0,2})?\s*$
Hinweis: Bei einer zusätzlichen iptables-Firewall oder bei iptables-persistent darauf achten, dass nach einem Rechnerneustart alles auch wieder richtig losläd.

Mit anderen Worten, z.B. iptalbes-persistent vor fail2ban stoppen beim herunterfahren und vor fail2ban starten beim hochfahren. Wenn fail2ban nämlich herunterfährt, werden die zusätzlichen bans aus der iptables entfernt, woraufhin iptables-persistent die zu kleine iptables sichert - und beim Neustart startet fail2ban, läd seine bans, dann kommt iptables-persistent und läd die Einstellungen neu und damit fliegt alles wieder raus, was fail2ban schon gestartet hat.

CU, Peter
Alles anzeigen

Mozi · 7. Oktober 2017

hi lukay.

was sollte man verändern an der /etc/fail2ban/action.d/iptables-multiport.conf ?

Zitat von CmdrXay
Hay,

und um es einfach zu machen, falls nicht automatisch mitinstalliert, mit diesem fail2ban Filterstring bekommst Du die obigen IPs gebannt:
Code
failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL ((?i)LOGIN|PLAIN |(?:CRAM|DIGEST)-MD5) authentication failed(:[ A-Za-z0-9+/:]*={0,2})?\s*$
Hinweis: Bei einer zusätzlichen iptables-Firewall oder bei iptables-persistent darauf achten, dass nach einem Rechnerneustart alles auch wieder richtig losläd.

Mit anderen Worten, z.B. iptalbes-persistent vor fail2ban stoppen beim herunterfahren und vor fail2ban starten beim hochfahren. Wenn fail2ban nämlich herunterfährt, werden die zusätzlichen bans aus der iptables entfernt, woraufhin iptables-persistent die zu kleine iptables sichert - und beim Neustart startet fail2ban, läd seine bans, dann kommt iptables-persistent und läd die Einstellungen neu und damit fliegt alles wieder raus, was fail2ban schon gestartet hat.

CU, Peter
Alles anzeigen

ich hab kein plan was sie damit meinen... sorry, bin vollleihe! xD könnte sie mir das exact beschreiben, welche configs ich wo ändern muss, bzw. welche befehle in der shell ausgeführt werden sollen? wäre ich ihnen sehr dankbar