Was bedeutet das ......

[fwberni]

Hallo

@all

Ein Gesundes Neues Jahr

Debian 12.4 (64-bit)
KH: 23.2.1 (Build 3125)

Heute musste ich im Systemstatus vom Email-Protokoll folgende Meldungen lesen:
Hier möchte wohl jemand man Mailserver Mißbrauchen oder......
--------------------------------------------------------------------------------------------------------

Code: Select all

2024-01-02 16:24:28	postfix/smtps/smtpd	disconnect from unknown[141.98.11.68] ehlo=1 auth=0/1 rset=1 commands=2/3
2024-01-02 16:24:28	postfix/smtps/smtpd	lost connection after AUTH from unknown[141.98.11.68]
2024-01-02 16:24:21	postfix/smtps/smtpd	warning: unknown[141.98.11.68]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=backup@torstenseiferth.de
2024-01-02 16:24:20	postfix/smtps/smtpd	connect from unknown[141.98.11.68]
2024-01-02 16:24:20	postfix/smtps/smtpd	warning: hostname noiseless.medyamol.com does not resolve to address 141.98.11.68
2024-01-02 16:23:46	postfix/smtps/smtpd	disconnect from unknown[141.98.11.68] ehlo=1 auth=0/1 rset=1 commands=2/3
2024-01-02 16:23:46	postfix/smtps/smtpd	lost connection after AUTH from unknown[141.98.11.68]
2024-01-02 16:23:39	postfix/smtps/smtpd	warning: unknown[141.98.11.68]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=abuse@torstenseiferth.de
2024-01-02 16:23:37	postfix/smtps/smtpd	connect from unknown[141.98.11.68]
2024-01-02 16:23:37	postfix/smtps/smtpd	warning: hostname noiseless.medyamol.com does not resolve to address 141.98.11.68
2024-01-02 16:23:07	postfix/anvil	statistics: max cache size 2 at Jan 2 16:18:24
2024-01-02 16:23:07	postfix/anvil	statistics: max connection count 1 for (smtps:141.98.11.68) at Jan 2 16:13:41
2024-01-02 16:23:07	postfix/anvil	statistics: max connection rate 4/60s for (smtps:123.254.109.92) at Jan 2 16:19:12
2024-01-02 16:23:02	postfix/smtps/smtpd	disconnect from unknown[141.98.11.68] ehlo=1 auth=0/1 rset=1 commands=2/3
2024-01-02 16:23:02	postfix/smtps/smtpd	lost connection after AUTH from unknown[141.98.11.68]
2024-01-02 16:22:55	postfix/smtps/smtpd	warning: unknown[141.98.11.68]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=support@torstenseiferth.de
2024-01-02 16:22:53	postfix/smtps/smtpd	connect from unknown[141.98.11.68]

-------------------------------------------------------------------------------------------------------

die hier genannten email Adressen gibt es ja gar nicht !
Und die IP 141.98.11.68 geht nach Litauen. Was kann ich da gegen tun ?

Gruss Torsten



[Mod-Edit]
CODE-Tags eingefügt.
Konsolenausgaben, Inhalte von Konfigurationsdateien, Auszüge aus Logfiles o.ä. bitte zukünftig immer mit CODE-Tags versehen!

[Jolinar]

Das sieht erstmal nach ganz normalem Grundrauschen aus, da werden Logins auf deinem Server nach Schwachstellen abgeklappert.
Kannst du erstmal ignorieren. Wenn die Zahl solcher Zugriffe massiv zunehmen sollte, kann man da noch an den Einstellungen nachschärfen, ist aber aktuell vermutlich nicht nötig.

[fwberni]

okay, ich werde es beobachten.

[fwberni]

Das sieht erstmal nach ganz normalem Grundrauschen aus, da werden Logins auf deinem Server nach Schwachstellen abgeklappert.
Kannst du erstmal ignorieren. Wenn die Zahl solcher Zugriffe massiv zunehmen sollte, kann man da noch an den Einstellungen nachschärfen, ist aber aktuell vermutlich nicht nötig.

Moin,

also das "Grundrauschen" ist nach wie vor da .

Was kann ich denn da noch nachschärfen in den Einsztellungen ?

[Jolinar]

also das "Grundrauschen" ist nach wie vor da .

Das wird auch immer da sein. Sowas gehört zum Alltag eines Admins, also leb damit...

Was kann ich denn da noch nachschärfen in den Einsztellungen ?

Da gibt es viele Möglichkeiten zum Finetuning.
Zb. könntest du deiner Firewall sagen, daß sie Requests aus der IP-Range von Litauen generell abweisen soll. Du könntest auch die Datenströme mit f2b lenken, indem du entsprechend sensible Jails definierst.
Solche Maßnahmen sollten aber immer gut überlegt und individuell auf das jeweilige Setup abgestimmt sein, damit du nicht mehr Schaden anrichtest als Nutzen generierst, denn zB. mit zu restriktiver Firewall könntest du auch legitime Nutzer von deinen Webpräsenzen aussperren.

Aber ich bin nach wie vor ziemlich sicher, daß du garnicht eingreifen brauchst.

[Ralph]

Was kann ich denn da noch nachschärfen in den Einsztellungen ?

Fail2ban strikter konfigurieren und die IP Adresse blockieren

Code: Select all

nano /etc/fail2ban/jail.d/keyhelp.local
# Postfix part erweitern

[keyhelp-postfix]
...
mode = aggressive
findtime = 1800
maxretry = 2
bantime  = 24h

# restart fail2ban
service fail2ban restart

Diese IP Adresse ist bereits länger als attackierend bekannt, also zusätzlich permanent per iptables oder ipset blocken:
141.98.11.68
IP Details:
https://www.abuseipdb.com/check/141.98.11.68

[fwberni]

Code: Select all

nano /etc/fail2ban/jail.d/keyhelp.local
# Postfix part erweitern

[keyhelp-postfix]
...
mode = aggressive
findtime = 1800
maxretry = 2
bantime  = 24h

# restart fail2ban
service fail2ban restart

Diese IP Adresse ist bereits länger als attackierend bekannt, also zusätzlich permanent per iptables oder ipset blocken:
141.98.11.68
IP Details:
https://www.abuseipdb.com/check/141.98.11.68

Danke Ralf,

habe es mal gemacht wie oben beschrieben.
Zur Zeit ist Ruhe im Karton. Habe auch unter Firewall die IP komplett gespert