Frage zur Serverabsicherung [GELÖST]

[ollidroll]

Hallo zusammen,
ich habe mal eine Frage zur Serverabsicherung:
Mein Server wird mit fail2ban und iptables soweit abgesichert funktioniert auch alles.
Bei den (doch recht vielen) Wordpress-Installationen auf meinem Server ist fast überall die "Ninja-Firewall" als WP-Plugin installiert, sowie das Plugin "fail2ban" (für die Bruteforce-Attacken, werden auch mit fail2ban geblockt).

Fail2ban schickt gleichzeitig die Meldungen zu dem Dienst auf Blocklist.de.

SSH habe ich auf einen anderen Port gelegt.

Außerdem ist mod_evasive installiert.
Mod_security ist mir ehrlich gesagt zu aufwendig (auch wenn es bereits installiert ist, aber auf "Durchzug" geschaltet ist)

Jetzt registriere ich -gerade in den letzten Tagen- sehr viele Angriffe auf den postfix- und proftpd-Dienst (bekomme ich über fail2ban mit).

Das beunruhigt mich ein wenig.
Kann ich da noch was gegen tun?

Dank im voraus für eure Meinungen.

Viele Grüße
Olli

[Jolinar]

Jetzt registriere ich -gerade in den letzten Tagen- sehr viele Angriffe auf den postfix- und proftpd-Dienst (bekomme ich über fail2ban mit).

Etwas mehr Input bitte, "sehr viele" ist ein ziemlich dehnbarer Begriff. Kannst du hier etwas genauer werden?
Gibt es besondere Auffälligkeiten in den Logfiles, die eventuell hilfreich wären? Kannst du vielleicht auch ein paar relevante Logzeilen posten?

[ollidroll]

Hi,
viele heißt sekündlich . Dann mal wieder etwas pause, dann geht es weiter. Ganz Grob jetzt.

Hier ein paar Logzeilen:
Nov 14 13:16:04 hwd01 postfix/smtpd[3603]: warning: hostname 223338.com does not resolve to address 107.174.52.162
Nov 14 13:16:04 hwd01 postfix/smtpd[3603]: connect from unknown[107.174.52.162]
Nov 14 13:16:05 hwd01 postfix/smtpd[3603]: NOQUEUE: reject: RCPT from unknown[107.174.52.162]: 450 4.7.1 Client host rejected: cannot find your hostname, [107.174.52.162]; from=<sofaniyaer@yandex.com> to=<termine@kosmetikpapillon.de> proto=ESMTP helo=<223338.com>
Nov 14 13:16:05 hwd01 postfix/smtpd[3603]: disconnect from unknown[107.174.52.162]
Nov 14 13:18:28 hwd01 postfix/smtpd[3823]: warning: hostname 223338.com does not resolve to address 107.174.52.162
Nov 14 13:18:28 hwd01 postfix/smtpd[3823]: connect from unknown[107.174.52.162]
Nov 14 13:18:29 hwd01 postfix/smtpd[3823]: NOQUEUE: reject: RCPT from unknown[107.174.52.162]: 450 4.7.1 Client host rejected: cannot find your hostname, [107.174.52.162]; from=<sofaniyaer@yandex.com> to=<info@fraukerauner.de> proto=ESMTP helo=<223338.com>
Nov 14 13:18:30 hwd01 postfix/smtpd[3823]: disconnect from unknown[107.174.52.162]
Nov 14 13:19:40 hwd01 postfix/smtpd[3823]: warning: hostname 223338.com does not resolve to address 107.174.52.162
Nov 14 13:19:40 hwd01 postfix/smtpd[3823]: connect from unknown[107.174.52.162]
Nov 14 13:19:43 hwd01 postfix/smtpd[3823]: NOQUEUE: reject: RCPT from unknown[107.174.52.162]: 450 4.7.1 Client host rejected: cannot find your hostname, [107.174.52.162]; from=<sofaniyaer@yandex.com> to=<dkf@andreashaug.de> proto=ESMTP helo=<223338.com>

2016-11-14 15:53:06,381 mein.de proftpd[25052] mein.de (mome.static.otenet.gr[79.129.19.253]): FTP session opened.
2016-11-14 15:53:06,488 mein.de proftpd[25052] mein.de (mome.static.otenet.gr[79.129.19.253]): USER test: no such user found from mome.static.otenet.gr [79.129.19.253] to ::ffff:87.118.118.17:21
2016-11-14 15:53:07,169 mein.de proftpd[25052] mein.de (mome.static.otenet.gr[79.129.19.253]): FTP session closed.
2016-11-14 15:53:07,621 mein.de proftpd[25058] mein.de (mome.static.otenet.gr[79.129.19.253]): FTP session opened.
2016-11-14 15:53:07,728 mein.de proftpd[25058] mein.de (mome.static.otenet.gr[79.129.19.253]): USER ftpuser: no such user found from mome.static.otenet.gr [79.129.19.253] to ::ffff:87.118.118.17:21
2016-11-14 15:53:08,662 mein.de proftpd[25058] mein.de (mome.static.otenet.gr[79.129.19.253]): FTP session closed.
2016-11-14 15:53:08,891 mein.de proftpd[25066] mein.de (mome.static.otenet.gr[79.129.19.253]): FTP session opened.
2016-11-14 15:53:08,998 mein.de proftpd[25066] mein.de (mome.static.otenet.gr[79.129.19.253]): USER testuser: no such user found from mome.static.otenet.gr [79.129.19.253] to ::ffff:87.118.118.17:21
2016-11-14 15:53:09,639 mein.de proftpd[25066] mein.de (mome.static.otenet.gr[79.129.19.253]): FTP session closed.

Reicht das erstmal?

Danke & Viele Grüße
Olli

[Jolinar]

Das sieht nach ganz normalem Grundrauschen aus.
Beim Postfix-Log sieht man schön, wie diverse Mailadressen durchprobiert werden. Wird aber korrekterweise abgelehnt, weil der MTA kein Relay ist.
Im Proftpd-Log ganz ähnlich, da werden gängige Usernamen durchprobiert.

Solange die Angriffsversuche keine nennenswerte Systemlast verursachen, brauchst du dir keine Sorgen machen.

[ollidroll]

ok, besten Dank.
Dann gehe ich jetzt mal ein wenig beruhigter schlafen...

[HolgerGr]

Hallo,

bei mir ist in den vergangenen zwei Wochen jeweils ein Hacker mit der Masche durchgekommen. Die Folge war, dass jeweils Spams von den accounts verschickt wurden. Ich habe das morgensd erst durch die unzustellbaren Rückläufer bemerkt. Einen der accounts habe ich komplett und dauerhaft entfernt weil alles Passwordändern einfach nichts genützt hat. Sobald ich diese emailadresse einrichte kann ich im maillog die Angriffe verfolgen. Nun hat es auch meine Hauptemail betroffen. Letzte Nacht müssen von doirt aus zigtausend Spams verschickt worden sein. Alleiun die unzustellbarebn Mailrückläufer gingen in die tausende.

Password ändern hat nichts gebracht. Das ist schon seltsam. Ich habe seit 2003 einen Server bei Keyweb aber sowas hatte ich noch nicht.

Grüße

[Daniel]

Hallo,

@ollidroll
Zugriffe auf den Postfix durch remote Mailserver als Relay werden bereits durch die Konfiguration des Mailservers über die "smtpd relay restrictions" untersagt. Selbes trifft auf sender und recipent restrictions zu. Clientseitige Zugriffe auf die Accounts werden nach einiger Zeit und mehreren Fehlversuchen von Fail2Ban abgewürgt.

Ebenso greift bei Loginversuchen auf Proftpd der Fail2Ban "Bannhammer".

@HolgerGr
Es gibt mehre Möglichkeiten Spam über einen Server abzusetzen:
Direkt über den Webserver, wenn über Scripte einer Domain Mails abgesetzt werden (oftmals bei CMS mit veraltetem Updatestand und Formularen)
oder auch durch falsch gesetzte Berechtigungen.
Gelegentlich werden auch in der Software hinterlegte Zugangsdaten zu einem Postfach ausgelesen, wenn Konfigurationsdateien nicht gesichert sind oder das CMS grundlegend kompromittiert wurde. Dann gibt es in der Mailserverlogfile immer wieder Verbindungen von localhost mit dem Konto.

Mittels direkten Clientconnects zum Mailversand von diversen IP-Adressen wenn User/Passwort durch Bruteforce/Wordlisten/Phishing oder kompromittierte Clientsysteme erbeutet wurden.

Lokale "Installation" von kleinen Mailservern/Scripten welche als getarnte Prozesse aktiv sind und viele Verbindungen zu Remotemailservern auf 25/587 herstellen. Diese können u.A. über eine Kompromittierung auf Rootebene auf das System gelangen oder auch durch Uploadfunktionen von CMS nach /tmp bzw. /var/tmp in Kombination mit ungünstigen Berechtigungen.

Handelt es sich bei den Meldungen in der Maillog lediglich um "bounces" mit erneuten Sendeversuchen oder um direkte "logins" über welche Mails abgesetzt werden? Tatsächlich erbeutete Kennwörter für den direkten Mailversand sind in der Regel recht selten. Am häufigsten werden Mails über Webscripte einer Domain über den Webserver abgesetzt.

[turbopixel]

Das mit Postfix kann ich bestätigen. In den letzten Wochen erhalte ich intern in Roundcube sehr sehr viele Meldungen mit "Undelivered Mail Returned to Sender". Auch sehe ich das sehr viele E-Mail Adressen mit meiner Domain durchprobiert werden. Das zur Info

[Martin]

Hello,

wenn derart viele Rückläufer auftreten, so sollte man vermutlich einmal einen Blick in die Mailwarteschlange werfen. Meist ist dies ein Anzeichen, das hier das betreffende System für Spamversand missbraucht wird.