Hi Leute,
so langsam mache ich mir Sorgen
denn bisher war ich verschont von
solchen größeren Sachen.
seit ca 2:00 Uhr wird mein Server
von vielen versch. IPs angegriffen
auszugsweise aus der fail2ban.log
nurmal die letzte Stunde:
Code
2012-12-07 14:00:46,560 fail2ban.actions: WARNING [sasl] Unban 173.163.9.161
2012-12-07 14:01:43,369 fail2ban.actions: WARNING [sasl] Ban 50.34.10.50
2012-12-07 14:02:45,844 fail2ban.actions: WARNING [sasl] Unban 23.24.12.243
2012-12-07 14:06:24,785 fail2ban.actions: WARNING [sasl] Ban 108.162.17.130
2012-12-07 14:07:12,094 fail2ban.actions: WARNING [sasl] Unban 98.174.235.103
2012-12-07 14:08:58,478 fail2ban.actions: WARNING [sasl] Ban 75.146.225.49
2012-12-07 14:09:26,653 fail2ban.actions: WARNING [sasl] Unban 75.127.236.194
2012-12-07 14:11:44,330 fail2ban.actions: WARNING [sasl] Unban 50.34.10.50
2012-12-07 14:13:53,798 fail2ban.actions: WARNING [sasl] Ban 50.192.56.14
2012-12-07 14:16:25,712 fail2ban.actions: WARNING [sasl] Unban 108.162.17.130
2012-12-07 14:18:44,931 fail2ban.actions: WARNING [sasl] Ban 67.52.184.130
2012-12-07 14:19:18,211 fail2ban.actions: WARNING [sasl] Unban 75.146.225.49
2012-12-07 14:21:03,097 fail2ban.actions: WARNING [sasl] Ban 89.119.220.57
2012-12-07 14:23:54,583 fail2ban.actions: WARNING [sasl] Unban 50.192.56.14
2012-12-07 14:25:21,808 fail2ban.actions: WARNING [sasl] Ban 108.162.17.130
2012-12-07 14:28:45,322 fail2ban.actions: WARNING [sasl] Unban 67.52.184.130
2012-12-07 14:31:03,861 fail2ban.actions: WARNING [sasl] Unban 89.119.220.57
2012-12-07 14:34:02,821 fail2ban.actions: WARNING [sasl] Ban 89.119.220.57
2012-12-07 14:35:22,088 fail2ban.actions: WARNING [sasl] Unban 108.162.17.130
2012-12-07 14:38:12,604 fail2ban.actions: WARNING [sasl] Ban 23.25.216.129
2012-12-07 14:40:15,667 fail2ban.actions: WARNING [sasl] Ban 75.127.236.194
2012-12-07 14:42:32,115 fail2ban.actions: WARNING [sasl] Ban 67.52.184.130
2012-12-07 14:44:03,434 fail2ban.actions: WARNING [sasl] Unban 89.119.220.57
2012-12-07 14:44:46,959 fail2ban.actions: WARNING [sasl] 67.52.184.130 already banned
2012-12-07 14:48:13,146 fail2ban.actions: WARNING [sasl] Unban 23.25.216.129
2012-12-07 14:50:15,673 fail2ban.actions: WARNING [sasl] Unban 75.127.236.194
2012-12-07 14:52:32,150 fail2ban.actions: WARNING [sasl] Unban 67.52.184.130
2012-12-07 14:53:25,455 fail2ban.actions: WARNING [sasl] Ban 37.209.31.239
2012-12-07 14:55:33,835 fail2ban.actions: WARNING [sasl] Ban 75.127.236.194
2012-12-07 14:57:46,458 fail2ban.actions: WARNING [sasl] Ban 50.74.62.242
Alles anzeigen
die Auszüge aus der auth.log(sehr kurz da ja immergleich nur mit anderen Namen)
werdet ihr sicher kennen:
Code
Dec 7 14:57:45 v2201010XXXXXXXX postfix/smtpd[6731]: sql plugin doing query SELECT password FROM mail_users WHERE username='catherine@v2201010XXXXXXXX.yourvserver.net' OR email='catherine@v2201010XXXXXXXX.yourvserver.net';
Dec 7 14:57:45 v2201010XXXXXXXX postfix/smtpd[6731]: sql plugin doing query SELECT password FROM mail_users WHERE username='catherine@v2201010XXXXXXXX.yourvserver.net' OR email='catherine@v2201010XXXXXXXX.yourvserver.net';
Dec 7 15:00:12 v2201010XXXXXXXX postfix/smtpd[7849]: sql plugin doing query SELECT password FROM mail_users WHERE username='jeffrey@v2201010XXXXXXXX.yourvserver.net' OR email='jeffrey@v2201010XXXXXXX.yourvserver.net';
So nun meine Frage:
Wie gefährlich ist das nun und welche Gegenmassnahmen kann ich unternehmen,
damit das aufhört?
bzw. WAs kann ich machen damit alles sicher ist/bleibt?
momentan denke ich dran der server zu stoppen
bisher scheint fail2ban ja zuverlässig zu arbeiten aber wie hier schon öfter
zu Lesen war , setzt die FW ja manchmal aus.
var/www ist über htaccess geschützt
sowie nur über https zu erreichen