Immer wieder Fail2ban :?

technotravel · Post by **technotravel** » Thu 23. May 2024, 10:08

Ich habe hier ein Angriffsmuster, wo der Angreifer in rascher Folge, aber immer mit einer frischen IP zuschlägt:

Mai 23 09:50:04 v220230530976229324.powersrv.de postfix/smtps/smtpd[3058451]: warning: unknown[80.244.11.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=shlee
Mai 23 09:50:04 v220230530976229324.powersrv.de postfix/smtps/smtpd[3058451]: lost connection after AUTH from unknown[80.244.11.82]
Mai 23 09:50:04 v220230530976229324.powersrv.de postfix/smtps/smtpd[3058451]: disconnect from unknown[80.244.11.82] ehlo=1 auth=0/1 rset=1 commands=2/3
Mai 23 09:50:08 v220230530976229324.powersrv.de postfix/smtps/smtpd[3058451]: connect from unknown[80.244.11.58]
Mai 23 09:50:10 v220230530976229324.powersrv.de postfix/smtps/smtpd[3058451]: warning: unknown[80.244.11.58]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=limit
Mai 23 09:50:10 v220230530976229324.powersrv.de postfix/smtps/smtpd[3058451]: lost connection after AUTH from unknown[80.244.11.58]
Mai 23 09:50:10 v220230530976229324.powersrv.de postfix/smtps/smtpd[3058451]: disconnect from unknown[80.244.11.58] ehlo=1 auth=0/1 rset=1 commands=2/3
Mai 23 09:50:24 v220230530976229324.powersrv.de postfix/smtps/smtpd[3058451]: connect from unknown[80.244.11.120]
Mai 23 09:50:26 v220230530976229324.powersrv.de postfix/smtps/smtpd[3058451]: warning: unknown[80.244.11.120]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=wa
Mai 23 09:50:26 v220230530976229324.powersrv.de postfix/smtps/smtpd[3058451]: lost connection after AUTH from unknown[80.244.11.120]
Mai 23 09:50:26 v220230530976229324.powersrv.de postfix/smtps/smtpd[3058451]: disconnect from unknown[80.244.11.120] ehlo=1 auth=0/1 rset=1 commands=2/3
Mai 23 09:50:28 v220230530976229324.powersrv.de postfix/smtps/smtpd[3058451]: connect from unknown[80.244.11.61]
Mai 23 09:50:30 v220230530976229324.powersrv.de postfix/smtps/smtpd[3058451]: warning: unknown[80.244.11.61]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=matteo
Mai 23 09:50:30 v220230530976229324.powersrv.de postfix/smtps/smtpd[3058451]: lost connection after AUTH from unknown[80.244.11.61]
Mai 23 09:50:30 v220230530976229324.powersrv.de postfix/smtps/smtpd[3058451]: disconnect from unknown[80.244.11.61] ehlo=1 auth=0/1 rset=1 commands=2/3

Offenbar kann er sich unbegrenzt IPs von 80.244.11.XXX holen (Obiges ist nur ein kleiner Ausschnitt) - es ist halt jedes Mal eine andre Zahl im letzten Segment der IP. Dagegen ist F2B wohl machtlos

Oder gibt es eine Einstellung, mit der man diese Art von Angriff in F2B unterbinden kann?

Post by **mhagge** » Thu 23. May 2024, 10:13

Wenn sich das so direkt eingrenzen lässt (und es keinen legitimen Datenverkehr aus diesem Netzbereich gibt) würde ich ja einfach 80.244.11.0/24 über die Firewall aussperren

Regel "eingehend" mit "Datenverkehr verweigern" und Quelle 80.244.11.0/24 - das ganze möglichst an Position 1

Post by **Daniel** » Thu 23. May 2024, 10:44

Hallo,

ja - einfach weg damit.
Denke du kannst definitiv auf Traffic aus dem AS15828 verzichten.

Ansonsten kannst du auch alles mit Fail2Ban weghauen lassen, mehr als 253 Adressen werden es eh nicht aus dem Netz.
Bei Fail2Ban ist von System zu System ohnehin immer eine eigene Anpassung notwendig - wie man es eben braucht.

Code: Select all

/etc/fail2ban/jail.d/keyhelp.local

Code: Select all

[kh-postfix]
enabled  = true
port     = smtp,ssmtp,smtps,submission,submissions
filter   = postfix
backend  = systemd
maxretry = 3

[kh-dovecot]
enabled  = true
port     = pop3,pop3s,imap,imaps,submission,submissions,sieve
filter   = dovecot
backend  = systemd
maxretry = 6

Ich würde aber auch einfach das Netz weghauen.

Ralph · Post by **Ralph** » Thu 23. May 2024, 11:23

Da hilft eigentlich nur den maxretry in der entsprechenden F2B config runter setzen (maxretry=1) ich verwende für Postfix auth einen extra sasl-auth filter unabhängig vom default postfix filter damit wird es weinger krass ... Kunden die sich nicht korrekt einloggen können, müssen es halt lernen.
Die guten alten Zeiten wo ein ein AS oder Netrange blocking noch ausreichte sind vorbei, effiziente dictionary attacks werden in den meisten Fällen via botnets über tausende IP Adressen ausgeliefert.

technotravel · Post by **technotravel** » Thu 23. May 2024, 11:35

Danke für all die Antworten

Sehr effektiv - zumindest solange es bei nur einem solchen Angreifer bleibt ... die alle dann händisch in der Firewall zu blocken, würde dann doch etwas mühsam

Post by **Alexander** » Thu 23. May 2024, 11:37

Folgende Regel ist ab kommenden Update by default bei neuen Installationen aktiv.

Code: Select all

[kh-postfix-sasl]
enabled  = true
filter   = postfix[mode=auth]
port     = smtp,ssmtp,smtps,submission,submissions
backend  = systemd
maxretry = 4

Die Standard kh-postfix greift nämlich nicht bei solchen hier:

warning: unknown[80.244.11.120]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=wa

Dazu aktivierst du noch die Recidive Regel und setzt dort ggf. die bantime hoch (und bei Recidive und o.g. Regel ggf. maxretry runter) und dann ist Ruhe.

Bin auf meinem privaten Server auch seit kurzem geplagt von o.g. Nachrichten im Log.
Mittlerweile knapp 2000x Blockierungen durch die Recidive Regel - passt.

---

Der Vollständigkeit-halber, aufgrund eines Bugs in aktuellen Fail2Ban Versionen in der "/etc/fail2ban/filter.d/postfix.conf" sollte die Datei so aussehen:

Code: Select all

#
# These files are from Fail2Ban 1.1.0 and are installed by KeyHelp for older Fail2Ban versions.
#


# Fail2Ban filter for selected Postfix SMTP rejections
#
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf

[Definition]

_daemon = postfix(-\w+)?/[^/\[:\s]+(?:/smtp[ds])?
_port = (?::\d+)?
_pref = [A-Z]{4}

prefregex = ^%(__prefix_line)s<mdpr-<mode>> <F-CONTENT>.+</F-CONTENT>$

# Extended RE for normal mode to match reject by unknown users or undeliverable address, can be set to empty to avoid this:
exre-user = |[Uu](?:ser unknown|ndeliverable address)  ; pragma: codespell-ignore

mdpr-normal = (?:\w+: (?:milter-)?reject:|(?:improper command pipelining|too many errors) after \S+)
mdre-normal=^%(_pref)s from [^[]*\[<HOST>\]%(_port)s: [45][50][04] [45]\.\d\.\d+ (?:(?:<[^>]*>)?: )?(?:(?:Helo command|(?:Sender|Recipient) address) rejected: )?(?:Service unavailable|Access denied|(?:Client host|Command|Data command) rejected|Relay access denied|Malformed DNS server reply|(?:Host|Domain) not found|need fully-qualified hostname|match%(exre-user)s)\b
            ^from [^[]*\[<HOST>\]%(_port)s:?

mdpr-auth = warning:
mdre-auth = ^[^[]*\[<HOST>\]%(_port)s: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:(?! Connection lost to authentication server| Invalid authentication mechanism)
mdre-auth2= ^[^[]*\[<HOST>\]%(_port)s: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:(?! Connection lost to authentication server)
# todo: check/remove "Invalid authentication mechanism" from ignore list, if gh-1243 will get finished (see gh-1297).

# Mode "rbl" currently included in mode "normal", but if needed for jail "postfix-rbl" only:
mdpr-rbl = %(mdpr-normal)s
mdre-rbl  = ^%(_pref)s from [^[]*\[<HOST>\]%(_port)s: [45]54 [45]\.7\.1 Service unavailable; Client host \[\S+\] blocked\b

# Mode "rbl" currently included in mode "normal" (within 1st rule)
mdpr-more = %(mdpr-normal)s
mdre-more = %(mdre-normal)s

# Includes some of the log messages described in
# <http://www.postfix.org/POSTSCREEN_README.html>.
mdpr-ddos = (?:lost connection after (?!(?:DATA|AUTH)\b)[A-Z]+|disconnect(?= from \S+(?: \S+=\d+)* auth=0/(?:[1-9]|\d\d+))|(?:PREGREET \d+|HANGUP) after \S+|COMMAND (?:TIME|COUNT|LENGTH) LIMIT)
mdre-ddos = ^from [^[]*\[<HOST>\]%(_port)s:?

mdpr-extra = (?:%(mdpr-auth)s|%(mdpr-normal)s)
mdre-extra = %(mdre-auth)s
            %(mdre-normal)s

mdpr-aggressive = (?:%(mdpr-auth)s|%(mdpr-normal)s|%(mdpr-ddos)s)
mdre-aggressive = %(mdre-auth2)s
                  %(mdre-normal)s

mdpr-errors = too many errors after \S+
mdre-errors = ^from [^[]*\[<HOST>\]%(_port)s$


failregex = <mdre-<mode>>

# Parameter "mode": more (default combines normal and rbl), auth, normal, rbl, ddos, extra or aggressive (combines all)
# Usage example (for jail.local):
#   [postfix]
#   mode = aggressive
#
#   # or another jail (rewrite filter parameters of jail):
#   [postfix-rbl]
#   filter = postfix[mode=rbl]
#
#   # jail to match "too many errors", related postconf `smtpd_hard_error_limit`:
#   # (normally included in other modes (normal, more, extra, aggressive), but this jail'd allow to ban on the first message)
#   [postfix-many-errors]
#   filter = postfix[mode=errors]
#   maxretry = 1
#
mode = more

ignoreregex =

[Init]

journalmatch = _SYSTEMD_UNIT=postfix.service _SYSTEMD_UNIT=postfix@-.service

# Author: Cyril Jaquier

tab-kh · Post by **tab-kh** » Thu 23. May 2024, 11:45

technotravel wrote: ↑Thu 23. May 2024, 11:35 Danke für all die Antworten

Sehr effektiv - zumindest solange es bei nur einem solchen Angreifer bleibt ... die alle dann händisch in der Firewall zu blocken, würde dann doch etwas mühsam

Es sind mehrere solche Angreifer unterwegs. Mittlerweile blocke ich nur noch in Extremfällen diekt über die Firewall, zumal man bei den restlichen Angreifern, die eher ein Botnetz mit heterogenen IPs benutzen, sowieso jede IP einzeln per fail2ban erwischen muss.

Ralph · Post by **Ralph** » Thu 23. May 2024, 12:10

Alexander wrote: ↑Thu 23. May 2024, 11:37 Folgende Regel ist ab kommenden Update by default bei neuen Installationen aktiv.

Gut gemacht!
Es geht auch nicht mehr anders ... die meisten Kunden haben auch aufgrund der aktuellen Situation Verständnis dafür.
Es gibt aber immer wieder Überaschungen bei F2B ... z.b. wo Kunden im Panel einen Email Account löschen und den Transport aber noch im Client verwenden wollen oder das Passwort via Webmail ändern und im guten alten Email Client nicht daran denken oder einfach zu faul zum ändern sind

technotravel · Post by **technotravel** » Thu 23. May 2024, 12:13

Danke Alex

Alexander wrote: ↑Thu 23. May 2024, 11:37
Dazu aktivierst du noch die Recidive Regel und setzt dort ggf. die bantime hoch (und bei Recidive und o.g. Regel ggf. maxretry runter) und dann ist Ruhe.

Könntest du noch die Zeilen deines recidive Jails posten?

Post by **Alexander** » Thu 23. May 2024, 12:43

Das wären die Fail2Ban-Einstellungen, wie sie aktuell auf meinem privaten Server im Einsatz sind.
Das ist kein Shared Server und so Sachen wie Mail etc. wird nur von einer handvoll Personen genutzt.

/etc/fail2ban/jail.d/keyhelp

Code: Select all

# Created by KeyHelp.
#
# DO NOT CHANGE ANYTHING IN THIS FILE,
# CHANGES WILL BE LOST ON NEXT UPDATE!

# SSH

[sshd]
enabled  = true
port     = ssh
backend  = systemd
maxretry = 2
findtime = 60m


# Web server

[kh-apache]
enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /home/users/*/logs/*/error.log
maxretry = 2


# Mail server

[kh-postfix]
enabled  = true
#mode     = aggressive
port     = smtp,ssmtp,smtps,submission,submissions
filter   = postfix
backend  = systemd
maxretry = 3

[kh-postfix-sasl]
enabled  = true
filter   = postfix[mode=auth]
port     = smtp,ssmtp,smtps,submission,submissions
backend  = systemd
maxretry = 2
findtime = 60m

[kh-dovecot]
enabled  = true
port     = pop3,pop3s,imap,imaps,submission,submissions,sieve
filter   = dovecot
backend  = systemd
maxretry = 4


# FTP server

[kh-ftp]
enabled  = true
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
backend  = systemd
maxretry = 2


# Database server

[kh-database]
enabled  = true
port     = mysql
filter   = keyhelp-mariadb
backend  = systemd
maxretry = 2


# Tools

[kh-phpmyadmin]
enabled  = true
port     = http,https
filter   = keyhelp-phpmyadmin
# https://github.com/fail2ban/fail2ban/wiki/Upgrading-to-v0.10.5-Breaks-WP-Fail2ban-and-Other-Jails
backend  = systemd[journalflags=1]
maxretry = 2

[kh-roundcube]
enabled  = true
port     = http,https
filter   = roundcube-auth
# https://github.com/fail2ban/fail2ban/wiki/Upgrading-to-v0.10.5-Breaks-WP-Fail2ban-and-Other-Jails
backend  = systemd[journalflags=1]
maxretry = 3

[kh-snappymail]
enabled  = true
port     = http,https
filter   = keyhelp-snappymail
# https://github.com/fail2ban/fail2ban/wiki/Upgrading-to-v0.10.5-Breaks-WP-Fail2ban-and-Other-Jails
backend  = systemd[journalflags=1]
maxretry = 3


# Misc

# !!! WARNING !!!
# Make sure that your loglevel specified in fail2ban.conf/.local
# is not at DEBUG level -- which might then cause fail2ban to fall into
# an infinite loop constantly feeding itself with non-informative lines
[kh-recidive]
enabled  = true
filter   = recidive
logpath  = /var/log/fail2ban.log
action   = iptables-allports[name=recidive]
maxretry = 2
bantime  = 360d
findtime = 1d

Zusätzlich habe ich noch die folgenden Dateien mit folgendem Inhalt überschrieben:

/etc/fail2ban/filter.d/postfix.conf

Code: Select all

#
# These file is from Fail2Ban 1.1.0 and is installed by KeyHelp for older Fail2Ban versions.
#


# Fail2Ban filter for selected Postfix SMTP rejections
#
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf

[Definition]

_daemon = postfix(-\w+)?/[^/\[:\s]+(?:/smtp[ds])?
_port = (?::\d+)?
_pref = [A-Z]{4}

prefregex = ^%(__prefix_line)s<mdpr-<mode>> <F-CONTENT>.+</F-CONTENT>$

# Extended RE for normal mode to match reject by unknown users or undeliverable address, can be set to empty to avoid this:
exre-user = |[Uu](?:ser unknown|ndeliverable address)  ; pragma: codespell-ignore

mdpr-normal = (?:\w+: (?:milter-)?reject:|(?:improper command pipelining|too many errors) after \S+)
mdre-normal=^%(_pref)s from [^[]*\[<HOST>\]%(_port)s: [45][50][04] [45]\.\d\.\d+ (?:(?:<[^>]*>)?: )?(?:(?:Helo command|(?:Sender|Recipient) address) rejected: )?(?:Service unavailable|Access denied|(?:Client host|Command|Data command) rejected|Relay access denied|Malformed DNS server reply|(?:Host|Domain) not found|need fully-qualified hostname|match%(exre-user)s)\b
            ^from [^[]*\[<HOST>\]%(_port)s:?

mdpr-auth = warning:
mdre-auth = ^[^[]*\[<HOST>\]%(_port)s: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:(?! Connection lost to authentication server| Invalid authentication mechanism)
mdre-auth2= ^[^[]*\[<HOST>\]%(_port)s: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:(?! Connection lost to authentication server)
# todo: check/remove "Invalid authentication mechanism" from ignore list, if gh-1243 will get finished (see gh-1297).

# Mode "rbl" currently included in mode "normal", but if needed for jail "postfix-rbl" only:
mdpr-rbl = %(mdpr-normal)s
mdre-rbl  = ^%(_pref)s from [^[]*\[<HOST>\]%(_port)s: [45]54 [45]\.7\.1 Service unavailable; Client host \[\S+\] blocked\b

# Mode "rbl" currently included in mode "normal" (within 1st rule)
mdpr-more = %(mdpr-normal)s
mdre-more = %(mdre-normal)s

# Includes some of the log messages described in
# <http://www.postfix.org/POSTSCREEN_README.html>.
mdpr-ddos = (?:lost connection after (?!(?:DATA|AUTH)\b)[A-Z]+|disconnect(?= from \S+(?: \S+=\d+)* auth=0/(?:[1-9]|\d\d+))|(?:PREGREET \d+|HANGUP) after \S+|COMMAND (?:TIME|COUNT|LENGTH) LIMIT)
mdre-ddos = ^from [^[]*\[<HOST>\]%(_port)s:?

mdpr-extra = (?:%(mdpr-auth)s|%(mdpr-normal)s)
mdre-extra = %(mdre-auth)s
            %(mdre-normal)s

mdpr-aggressive = (?:%(mdpr-auth)s|%(mdpr-normal)s|%(mdpr-ddos)s)
mdre-aggressive = %(mdre-auth2)s
                  %(mdre-normal)s

mdpr-errors = too many errors after \S+
mdre-errors = ^from [^[]*\[<HOST>\]%(_port)s$


failregex = <mdre-<mode>>

# Parameter "mode": more (default combines normal and rbl), auth, normal, rbl, ddos, extra or aggressive (combines all)
# Usage example (for jail.local):
#   [postfix]
#   mode = aggressive
#
#   # or another jail (rewrite filter parameters of jail):
#   [postfix-rbl]
#   filter = postfix[mode=rbl]
#
#   # jail to match "too many errors", related postconf `smtpd_hard_error_limit`:
#   # (normally included in other modes (normal, more, extra, aggressive), but this jail'd allow to ban on the first message)
#   [postfix-many-errors]
#   filter = postfix[mode=errors]
#   maxretry = 1
#
mode = more

ignoreregex =

[Init]

journalmatch = _SYSTEMD_UNIT=postfix.service _SYSTEMD_UNIT=postfix@-.service

# Author: Cyril Jaquier

/etc/fail2ban/filter.d/apache-common.conf

Code: Select all

#
# These file is from Fail2Ban 1.1.0 and is installed by KeyHelp for older Fail2Ban versions.
#


# Generic configuration items (to be used as interpolations) in other
# apache filters.

[INCLUDES]

before = common.conf
# Load customizations if any available
after = apache-common.local

[DEFAULT]

# Apache logging mode:
#   all - universal prefix (logfile, syslog)
#   logfile - logfile only
#   syslog - syslog only
# Use `filter = apache-auth[logging=syslog]` to get more precise regex if apache logs into syslog (ErrorLog syslog).
# Use `filter = apache-auth[logging=all]` to get universal regex matches both logging variants.
logging = logfile

# Apache logging prefixes (date-pattern prefix, server, process etc.):
apache-prefix-syslog = %(__prefix_line)s
apache-prefix-logfile = \[\]\s
apache-prefix-all = (?:%(apache-prefix-logfile)s|%(apache-prefix-syslog)s)?

# Setting for __prefix_line (only `logging=syslog`):
_daemon = (?:apache\d*|httpd(?:/\w+)?)

apache-prefix = <apache-prefix-<logging>>

apache-pref-ignore =

_apache_error_client = <apache-prefix>\[(:?error|<apache-pref-ignore>\S+:\S+)\]( \[pid \d+(:\S+ \d+)?\])? \[(?:client|remote) <HOST>(:\d{1,5})?\]

datepattern = {^LN-BEG}

# Common prefix for [error] apache messages which also would include <HOST>
# Depending on the version it could be
# 2.2: [Sat Jun 01 11:23:08 2013] [error] [client 1.2.3.4]
# 2.4: [Thu Jun 27 11:55:44.569531 2013] [core:info] [pid 4101:tid 2992634688] [client 1.2.3.4:46652]
# 2.4 (perfork): [Mon Dec 23 07:49:01.981912 2013] [:error] [pid 3790] [client 204.232.202.107:46301] script '/var/www/timthumb.php' not found or unable to
#
# Reference: https://github.com/fail2ban/fail2ban/issues/268
#
# Author: Yaroslav Halchenko

Henning · Post by **Henning** » Thu 23. May 2024, 13:57

Alexander wrote: ↑Thu 23. May 2024, 11:37 Folgende Regel ist ab kommenden Update by default bei neuen Installationen aktiv.
Code: Select all
[kh-postfix-sasl]
enabled  = true
filter   = postfix[mode=auth]
port     = smtp,ssmtp,smtps,submission,submissions
backend  = systemd
maxretry = 4

Bereits bestehende Installationen können diese Regel manuell aktivieren?

tab-kh · Post by **tab-kh** » Thu 23. May 2024, 14:52

Henning wrote: ↑Thu 23. May 2024, 13:57
Alexander wrote: ↑Thu 23. May 2024, 11:37 Folgende Regel ist ab kommenden Update by default bei neuen Installationen aktiv.
Code: Select all
[kh-postfix-sasl]
enabled  = true
filter   = postfix[mode=auth]
port     = smtp,ssmtp,smtps,submission,submissions
backend  = systemd
maxretry = 4
Bereits bestehende Installationen können diese Regel manuell aktivieren?

Wüsste jetzt nicht was dagegen sprechen könnte. Außer vielleicht, wenn nicht ins Journal geloggt wird sondern ausschliesslich in Logdateien. Die obigen Einstellungen sollte man ansonsten problemlos in /etc/fail2ban/jail.d/keyhelp.local anpassen können. Die Datei wird ja bei Keyhelp-Updates auch nicht überschrieben, was natürlich sonst auch einigermaßen fatal wäre.

technotravel · Post by **technotravel** » Thu 23. May 2024, 17:10

Super Alex - das recidive Jail macht echt was her!

Es ist plötzlich so ungewohnt friedvoll in meinem journalctl, haha

Noch eine Frage hierzu:

Alexander wrote: ↑Thu 23. May 2024, 12:43 Zusätzlich habe ich noch die folgenden Dateien mit folgendem Inhalt überschrieben:

/etc/fail2ban/filter.d/postfix.conf

Werden die Dateien im Verzeichnis /etc/fail2ban/filter.d/ eigentlich bei einem Update von F2B überschrieben? Oder gar das gesamte Verzeichnis ersetzt? Falls letzteres - wo sollte man eigene Filter abspeichern?

Tobi7889 · Post by **Tobi7889** » Fri 24. May 2024, 19:38

technotravel wrote: ↑Thu 23. May 2024, 17:10 Super Alex - das recidive Jail macht echt was her! Es ist plötzlich so ungewohnt friedvoll in meinem journalctl, haha

Noch eine Frage hierzu:
Alexander wrote: ↑Thu 23. May 2024, 12:43 Zusätzlich habe ich noch die folgenden Dateien mit folgendem Inhalt überschrieben:

/etc/fail2ban/filter.d/postfix.conf

Werden die Dateien im Verzeichnis /etc/fail2ban/filter.d/ eigentlich bei einem Update von F2B überschrieben? Oder gar das gesamte Verzeichnis ersetzt? Falls letzteres - wo sollte man eigene Filter abspeichern?

Ja, die werden überschrieben -> Sonst wären Updates ja sinnlos und Filter stark veraltet ..

Aber nur wenn es Änderungen seitens fail2ban in der File gab, wenn du selbst was geändert hast, sollten die bestehen bleiben, sofern sie nicht im Update Package sind.

Zum abspeichern: Im Zweifel einfach einen eigenen Namen geben und dann die jail.d Datei auf den entsprechenden filter umschreiben. Dann hast du ja einen zusätzlichen Filter angelegt, welcher angewendet wird. Den musst du dann halt jedesmal, wenn es Anpassungen gibt auch anpassen, sofern benötigt - und auf dem Schirm.

technotravel · Post by **technotravel** » Mon 24. Jun 2024, 19:36

Alexander wrote: ↑Thu 23. May 2024, 11:37 Folgende Regel ist ab kommenden Update by default bei neuen Installationen aktiv.
Code: Select all
[kh-postfix-sasl]
enabled  = true
filter   = postfix[mode=auth]
port     = smtp,ssmtp,smtps,submission,submissions
backend  = systemd
maxretry = 4
Die Standard kh-postfix greift nämlich nicht bei solchen hier:

warning: unknown[80.244.11.120]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=wa

Das Jail ist bei mir aktiviert, trotzdem werde ich geflutet von

Code: Select all

Warning: unknown 194.169.175.66]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=adm@meinevserver.de]

... und dergleichen ... etwa im Sekundentakt ...

Code: Select all

mode = aggressive

habe ich auch probiert, F2B fängt trotzdem nichts

Woran könnte das liegen?

Immer wieder Fail2ban :? [SOLVED]

Immer wieder Fail2ban :?

Re: Immer wieder Fail2ban :?

Re: Immer wieder Fail2ban :?

Re: Immer wieder Fail2ban :?

Re: Immer wieder Fail2ban :?

Re: Immer wieder Fail2ban :?

Re: Immer wieder Fail2ban :?

Re: Immer wieder Fail2ban :?

Re: Immer wieder Fail2ban :?

Re: Immer wieder Fail2ban :? [SOLVED]

Re: Immer wieder Fail2ban :?

Re: Immer wieder Fail2ban :?

Re: Immer wieder Fail2ban :?

Re: Immer wieder Fail2ban :?

Re: Immer wieder Fail2ban :?